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PROCEDE DE TRANSMISSION D'INFORMATION ET SERVEUR LE 
METTANT EN OEUVRE 



5 



10 La presente invention concerne un procede de transmission 

d'information et un serveur informatique le mettant en oeuvre. Elle permet de 
s'assurer que la personne operant depuis un terminal est une personne autorisee ou 
habilitee. Elle s'applique, en particulier, a la verification d'identite de la personne qui 
accede a un service distant, quel que soit le terminal utilise. Elle permet 

15 d'authentifier I'identite de I'utilisateur, d'authentifier une transaction, de verifier 
I'integrite de cette transaction en la completant du montant de ladite transaction, de 
la quantite achetee, du nom du produit ou du service acquis, et ainsi de permettre le 
paiement de biens ou de services, en ligne, cest-a-dire au cours d'une 
communication entre systemes informatiques distants. 

20 Des domaines d'application de ('invention sont, par exemple, le 

controle d'acces, la remise en main propre d'information confidentielle, la 
certification de transactions ou de paiement de biens ou services sur un reseau 
informatique. 

La mise en ceuvre de la transaction a distance sur reseau pose, 
25 independamment de I'encryptage, le probleme de Tauthentification de la personne 
qui la realise, de I'integrite de la transaction et de sa confidentiality. Dans de 
nombreuses applications (commerce electronique, banque a distance, tele travail, 
securite interne des entreprises, securisation de bases de donnees payantes, par 
exemple) et sur tous supports (reseaux informatiques locaux ou distants, par 
30 exemple, respectivement, les reseaux communement appeles «intranet» ou 
«internet», serveurs vocaux, par exemple), ce probleme est crucial. 
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Les dispositifs et precedes de securisation connus dans Tart anterieur 
comma oeux illustres dans ,e document US-A-5.44Z704, qui utilisen, une carte a 
memcre, imposen. des contraintes materielles importantes et couteuses 

D'autres dispositifs logicieis. bases sur des systemes d'encryptage 
assuren, ,a confidential des donnees sans garantir identification de 1 
personne. 

D'autres dispositifs utilisent un moyen d'authentification. connu sous le 
nom a d authentic,, ou de <,,o k en». qui caicuie a partir de donnees recues au 
cours dune transaction e. d'une cie secrete qu'i, conserve en memoire, un mo. de 
passe dynamique Ces dispositifs imposen,. de nouveau. des contraintes materieiies 
importantes et couteuses. 

La presente invention entend remedier a ces inconvenients. A cet effet 
la presents invention propose ,'utilisation combinee d'au moins deux reseaux de 
• communication. 

En d'autres termes, la presente invention propose la transmission a un 
usager d'un premier support de communication, d'une information confidentie.le sur 
un deux,eme support deformation, preferentiellement securise, avec : 

- un mecanisme de synchronisation des deux communications sur .es 
deux reseaux et 

- une operation de renvoi, d un support de communication a I'autre a 
l.n lt ,a„ve de rusager, par saisie preferentieilemen. manuelle, de .'information 
confidentielle recue sur I'autre support. 

A cet effet, la presente invention vise, selon un premier aspect un 
precede de transmission deformation sur un premier support de transmission 
caractense en ce qu'il comporte : 

- une operation d'ouverture d'une session de communication avec un 
moyen de communication situe a distance, sur .edit premier support de transmission, 

et, durant ladite session : 

• une operation de reception d'une information confidentielle sur 
un terminal a adresse unique sur un deuxieme support de 
transmission, et 
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. une operation de transmission, sur le premier support de 
transmission, d'un message confidentiel representatif de ladite 
information confidentielle. 
La presente invention vise, selon un deuxieme aspect, un procede de 
5 transmission d'information sur un premier support de transmission, caracterise en ce 
qu'il comporte : 

- une operation d'ouverture, par I'intermediaire d'un terminal a adresse 
unique sur ledit premier support de transmission, d'une session de communication 
avec un moyen de communication situe a distance, 

10 et, durant ladite session : 

. une operation de reception d'une information confidentielle sur 
le premier support de transmission, et 

. une operation de transmission, sur un deuxieme support de 
transmission, d'un message confidentiel representatif de ladite 
15 information confidentielle. 

La presente invention vise, selon un troisieme aspect, un procede de 
transmission d'information sur un premier support de communication, caracterise en 
ce qu'il comporte : 

- une operation d'ouverture, par I'intermediaire d'un premier terminal, 
20 d'une session de communication avec un moyen de communication situe a distance, 

sur ledit premier support de communication, 

- une operation d'ouverture, par I'intermediaire d'un deuxieme terminal, 
d'une session de communication avec un moyen de communication situe a distance, 
sur un deuxieme support de communication, 

25 - lorsque les deux sessions sont ouvertes, une operation de reception 

d'une information confidentielle sur un desdits supports de communication sur lequel 
Tun des terminaux a une adresse unique, et 

- une operation de transmission, sur I'autre desdits supports de 
communication, d'un message confidentiel representatif de ladite information 

30 confidentielle. 

La presente invention vise, selon un quatrieme aspect, un procede de 
transmission d'information sur un premier support de transmission, caracterise en ce 
qu'il comporte : 
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- une operation d'ouverture d'une session de communication avec un 
moyen de communication situe a distance, sur ledit premier support de transmission, 

et, durant ladite session : 

une operation de generation d'une information confidentielle et 
de transmission de ladite information confidentielle sur un 
deuxieme support de transmission a un terminal possedant une 
adresse unique sur le deuxieme support, 

. une operation de reception, sur le premier support de 
transmission, d'un message confidentiel susceptible d'etre 
representatif de ladite information confidentielle, et 
. une operation de verification de correspondance entre ledit 
message confidentiel et ladite information confidentielle. 
La presente invention vise, selon un cinquieme aspect, un procede de 
transmission d'information sur un support de transmission dit "deuxieme", ledit 
support de transmission faisant partie d'un reseau de communication, caracterise en 
ce qu'il comporte : 

- urte operation de reception, de la part d'un terminal dit "deuxieme", 
d'un premier message representatif : 

. d'un identifiant d'un terminal dit "troisieme" possedant une 
20 adresse unique sur ledit reseau, 

. d'une information confidentielle, 

. d'une information representative d'un montant de transaction, 

- une operation de transmission, au troisieme terminal, d'un deuxieme 
message representatif : 

25 • de ladite information confidentielle et 

. dudit montant, 

- une operation de reception d'un troisieme message, de la part dudit 
deuxieme terminal, representatif d'une validation de transaction, et 

- une operation ^incrementation d'un registre correspondant audit 
30 troisieme terminal, d'une valeur representative dudit montant de transaction. 

La presente invention vise, selon un sixieme aspect, un procede de 
transmission d'information sur un support de transmission dit "deuxieme", ledit 
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support de transmission faisant partie d'un reseau de communication, caracterise en 
ce qu f il comporte : 

- une operation de reception, de la part d'un terminal dit "deuxieme", 
d'un premier message representatif : 

. d'un identifiant d'un terminal dit "troisieme" possedant une 
adresse unique sur ledit reseau, 
. d'une information confidentielle, 

. d'une information representative d'un montant de transaction, 

- une operation de transmission, au troisieme terminal, d'un deuxieme 
message representatif ; 

. de ladite information confidentielle et 
. dudit montant, 

- une operation de reception d'un troisieme message, de la part dudit 
deuxieme terminal, representatif d ! une validation de transaction, et 

- une operation ^incrementation d'un registre correspondant audit 
troisieme terminal, d'une valeur representative d'une duree de la premiere session. 

On observe que, selon les cinquieme et sixieme aspects, de I'invention, 
I'operation decrementation peut avoir lieu avant ou apres I'operation de reception 
d'un troisieme message. 

La presente invention vise, selon un septieme aspect, un procede de 
transmission d'information sur un support de transmission dit "deuxieme", ledit 
support de transmission faisant partie d'un reseau de communication, caracterise en 
ce qu'il comporte : 

- une operation de reception, de la part d'un terminal dit "deuxieme", 
d'un premier message representatif : 

. d'un identifiant d'un terminal dit "troisieme" possedant une 
adresse unique sur ledit reseau, 
. d'une information confidentielle, 

. d'une information representative d'un montant de transaction, 

- une operation de transmission, au troisieme terminal, d'un deuxieme 
message representatif : 

. de ladite information confidentielle et 
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. dudit montant, 

- une operation ^incrementation d'un registre correspondant audit 
troisieme terminal, d'une valeur predeterminee. 

La presente invention vise, selon un huitieme aspect, un procede de 
5 transmission ^information, entre un premier terminal et un deuxieme terminal, sur un 
premier support de transmission appartenant a un reseau de communication, 
caracterise en ce qu'il comporte : 

- une operation d'ouverture de session de communication, sur le 
premier support de transmission entre le premier terminal et le deuxieme terminal, et 

10 - une operation de transmission, de la part du deuxieme terminal a un 

troisieme terminal raccorde a un deuxieme reseau et possedant une adresse unique 
sur ledit deuxieme reseau, d'un premier message representatif d'une information 
confidentielle, 

- une operation de transmission, au troisieme terminal, d'un deuxieme 
15 message representatif de ladite information confidentielle, et 

- une operation de transmission, sur le premier support de 
transmission, en provenance du premier terminal et a destination du deuxieme 
terminal, d'un message representatif de I'information confidentielle. 

Dans chacun des aspects de la presente invention, I'utilisateur, d'une 
20 part, et la transaction, d'autre part, sont done authentifies car la transmission de 
('information confidentielle, a I'initiative de I'utilisateur, prouve son identite par la 
reception de cette information confidentielle. De plus, ('engagement de I'utilisateur 
dans les deux communications, prouve ['utilisation des deux terminaux, 
simultanement, par le meme utilisateur. 
25 Lorsque Tun des reseaux utilises est un reseau de communication 

mobile, la mise en oeuvre de ^invention est entierement nomade, e'est-a-dire qu'elle 
peut etre appliquee n'importe ou, par I'utilisateur du reseau de communication 
mobile. 

En outre, I'invention peut etre mise en oeuvre sur n'importe quels 
30 terminaux et est independante du materiel utilise. Elle ne necessite aucune 
adaptation des terminaux actuels, ni modification, ni ajout de peripheriques. 
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La simplicity de mise en oeuvre de la presente invention rend les 
taches d'authentification, de virement, de paiement, intuitives, et elle ne necessite 
aucun apprentissage. 

On observe aussi que I' information confidentielle peut etre un mot de 
5 passe ou un certificat de transaction. 

Selon des caracteristiques particulieres de chacun des aspects de la 
presente invention exposes ci-dessus : 

- reformation confidentielle est representative d'un nombre pseudo- 

aleatoire, 

10 - 1'information confidentielle est representative d'un numero de session 

attribue a une session, 

- reformation confidentielle est representative de ridentifiant de 

I'utiiisateur, 

- r information confidentielle est representative d'un ou plusieurs 
15 numeros de compte bancaire et/ou de carte, 

- I'information confidentielle est representative de I'heure et la date de 
ladite operation d'ouverture de session, et/ou 

- I'information confidentielle est modifiee a chacune des sessions. 
Grace a chacune de ces dispositions, I'information confidentielle est 

20 renouvelee a chaque session et son usage est limite a une seule session de 
communication. . 

Selon des caracteristiques particulieres de chacun des aspects de 
I'invention exposes ci-dessus: 

- au cours de I'operation de reception d'une information confidentielle 
25 sur un terminal a adresse unique sur un deuxieme support de communication, on 

report, en outre, un montant de transaction, et/ou 

- au cours de I'operation de transmission d'un message confidentiel 
representatif de I'information confidentielle, on transmet, en outre, un montant de 
transaction. 

30 Grace a chacune de ces dispositions, I'invention permet des 

transactions mettant en oeuvre des montants financiers, telles que des achats, des 
reservations, des echanges, des emprunts, des mises en gages, des cautions ... 
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Selon un neuvieme aspect, la presente invention vise un precede de 
transmission d* information sur un premier support de communication faisant partie 
d'un reseau de communication, caracterise en ce qu'il comporte ; 

- une operation de reception, de la part d'un premier terminal, d'un 
5 premier message representatif : 

. d'un montant d'une transaction envisagee, 
. d'un identifiant d'un debiteur, 

- une operation de transmission, sur un deuxieme support de 
communication, a un serveur bancaire, d'un deuxieme message representatif : 

10 . dudit montant, 

. d'un identifiant dudit debiteur 

. d'une demande d'autorisation de debit, 

- une operation de reception ou non de la part dudit serveur bancaire, 
d'un troisieme message representatif d'une autorisation de debit, 

15 - lorsque I'autorisation est accordee, une operation de transmission, a 

un deuxieme terminal possedant une adresse unique sur un deuxieme reseau de 
communication, d'un quatrieme message representatif d'une information 
confidentielle, 

- une operation de reception, de la part dudit premier terminal, d'un 
20 cinquieme message representatif de ladite information confidentielle, 

- une operation de verification de correspondance entre le message 
confidentielle et ('information confidentielle. 

Ce neuvieme aspect de la presente invention presente les memes 
avantages que les premier et deuxieme aspects. Ces avantages ne sont done pas 
25 rappeles ici. 

Selon des caracteristiques particulieres de chaque aspect de 
I'invention, apres I'operation de verification de correspondance, en cas de 
correspondance, le precede vise par la presente invention, tel que succinctement 
expose ci-dessus comporte une operation decrementation d'un compte au debit 
30 dudit debiteur. 

Grace a ces dispositions, une facture correspondant a chaque montant 
de transaction effectue par le debiteur, peut lui etre envoyee. 
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Selon d'autres caracteristiques particulieres de chacun des procedes 
vises par les differents aspects de la presente invention, ce procede comporte, 
apres I'operation de reception du premier message, une operation de lecture, dans 
une base de donnee, de I'adresse unique du deuxieme terminal sur le deuxieme 
5 reseau. 

Grace a ces dispositions, le debiteur n'a pas a foumir cette adresse, 
d'une part, et cette adresse est certifiee, d'autre part. 

Selon d'autres caracteristiques particulieres de chacun des procedes 
vises par les differents aspects de la presente invention, ce procede comporte, 
10 apres I'operation de reception du premier message, une operation de lecture, dans 
une base de donnee, d'un identificateur dudit serveur bancaire. 

Grace a ces dispositions, le debiteur n'a pas a fournir cet identificateur, 
ni une carte bancaire, d'une part, et cet identificateur peut etre preliminairement 
verifie, d'autre part. 

15 Selon un dixieme aspect, la presente invention vise un procede de 

transmission d 1 information sur un premier support de communication faisant partie 
d'un reseau de communication, caracterise en ce qu'il comporte : 

- une operation de reception, de la part d'un premier terminal, d'un 
premier message representatif : 

20 . d'un montant d'une transaction envisagee, 

. d'un identifiant d'un debiteur, 

- une operation d'autorisation, ou non, de debit d'un compte bancaire, 

- lorsque I'autorisation est accordee, une operation de transmission, a 
un deuxieme terminal possedant une adresse unique sur un deuxieme reseau de 

25 communication, d'un deuxieme message representatif de information confidentielle, 

- une operation de reception, de la part dudit premier terminal, d'un 
troisieme message representatif de ladite information confidentielle, 

- une operation de verification de correspondance entre le message 
confidentielle et Tinformation confidentielle et 

30 - dans le cas ou la correspondance est verifiee, une operation de debit 

dudit montant sur ledit compte bancaire. 

Selon des caracteristiques particulieres de chacun des aspects du 
procede vise par la presente invention, celui-ci comporte une operation de saisie 
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manuelle, au cours de laquelle I'utilisateur saisit un message confidentiel 
representatif de I'information confidentielle. 

Grace a ces dispositions, I'engagement de I'utilisateur est garantie par 
la.saisie manuelle qu'il effectue. 

Selon des caracteristiques particulieres de chacun des aspects du 
procede vise par la presente invention, celui-ci comporte une operation de selection 
de transmission, au cours de laquelle, en fonction de criteres predetermines, les 
transmissions sont classees en deux groupes, Tun concernant les transmission dites 
« a securiser » et I'autres les transmissions dites « normales », les transmissions 
normales ne donnant pas lieu a plus d'une operation de transmission sur un support 
de communication. 

Grace a ces dispositions, le procede vise par la presente invention 
n'est mis en oeuvre que pour une partie des transmissions, en fonctions de criteres 
predetermines. 

15 Selon des caracteristiques particulieres de chacun des aspects du 

procede vise par la presente invention, au cours de ladite operation de selection, on 
met en oeuvre un montant limite de transaction, les transmissions dites « a 
securiser » etant celles auxquelles sont associees les montants de transaction 
superieurs audit montant limite. 

20 Grkce a ces dispositions, le critere de selection des transmissions qui 

sont securisees par la mise en oeuvre de la presente invention sont celles qui 
concernent des montants de transaction superieurs au montant limite. 

Selon des caracteristiques particulieres de chacun des aspects du 
procede vise par la presente invention, celui-ci comporte une operation de 

25 transmission d'une adresse unique sur Tun desdits reseaux. 

Selon des caracteristiques particulieres de chacun des aspects du 
procede vise par la presente invention, au cours de ladite operation de transmission 
d'une adresse unique, on transmet un certificat contenant une information 
representative du ladite adresse unique. 

30 Gr&ce ^ chacune de ces dispositions, c'est I'utilisateur lui-meme ou, 

respectivement, son ordinateur, qui, de maniere cryptee ou non, transmet sur I'un 
des reseaux une adresse unique dont il dispose sur un des reseaux utilises. 
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Selon des caracteristiques particulieres de chacun des aspects du 
procede vise par la presente invention, ledit certificat repond a un protocofe de 
securisation de paiement et comporte une information representative de ladite 
adresse unique. 

5 Grace a ces dispositions, Tadresse unique transmise avec le certificat 

est protege par le protocole de securisation de paiement. 

La presente invention vise aussi une memoire, amovible ou non, qui 
conserve des instructions d'un programme susceptible d'etre execute par un 
processeur et adapte a mettre en oeuvre le procede de transmission tel que 
10 succinctement expose ci-dessus. 

La presente invention vise, en outre, un serveur informatique, 
caracterise en ce qu'il est adapte a mettre en oeuvre le procede de transmission tel 
que succinctement expose ci-dessus. 

Ce dixieme aspect, ce serveur et cette memoire presentant les memes 
15 caracteristiques particulieres et les memes avantages que les neuf premiers aspects 
de la presente invention, exposes ci-dessus, ceux-ci ne sont pas rappeles ici. 

D'autres avantages, buts et caracteristiques de I'invention ressortiront 
de la description qui va suivre, faite en regard des dessins annexes dans lesquels : 

- la figure 1 est un schema de principe du procede de la presente 

20 invention ; 

- la figure 2 represente un schema particulier de mise en oeuvre de la 
presente invention ; 

- la figure 3 represente une architecture systeme capable de supporter 
la mise en oeuvre de la presente invention ; 

25 - ia figure 4 represente une succession d'operations generiques mises 

en oeuvre par les elements illustres en figures 2 et 3 ; 

- la figure 5 represente une succession d'operations mises en oeuvre 
par les elements illustres en figures 2 et 3, dans le cadre d'une application de la 
presente invention a ('authentication; et 

30 - ia figure 6 represente une succession d'operations mises en oeuvre 

par les elements illustres en figures 2 et 3, dans le cadre d'une application de la 
presente invention a la certification de messages ; 
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- la figure 7 represente une succession cooperations mises en oeuvre 
par les elements illustres en figures 2 et 3, dans le cadre d'une application de la 
presente invention au paiement electronique en ligne, dans le cas d'un service sans 
abonnement ; 

5 - la figure 8 represente une succession d'operations mises en oeuvre 

par les elements illustres en figures 2 et 3, dans le cadre d'une application de la 
presente invention au paiement electronique en ligne, dans le cas d'un service avec 
abonnement ; 

- la figure 9 represente une succession d'operations mises en oeuvre 
10 par les elements illustres en figures 2 et 3, dans le cadre d'une application de la 

presente invention au paiement avec un terminal de paiement electronique connu ; 

- la figure 10 represente une succession d'operations mises en oeuvre 
par les elements illustres en figures 2 et 3 t dans le cadre d'une autre application de 
la presente invention au paiement electronique en ligne avec un tiers de confiance, 

15 dans ie cas d'un service sans abonnement; 

- la figure 11 represente, schematiquement, des communications de 
messages mises -en oeuvre dans une application de la presente invention en 
combinaison avec un protocole de paiement connu sous le nom de « SET » 
(acronyme de « Secure Electronic Transaction » pour transaction electronique 

20 securisee) 

- la figure 12 represente, schematiquement, des communications de 
messages mises en oeuvre dans une application de la presente invention en 
combinaison avec un protocole de paiement connu de Thomme du metier sous le 
nom de Globeld (marque deposee) ou Kleline (marque deposee) ; et 

25 - la figure 13 represente, schematiquement, des communications de 

messages mises en oeuvre dans une application de la presente invention en 
combinaison avec un protocole de communication securise connu sous le nom de 
« SSL » (acronyme de « Secure Socket Level » pour niveau de securite (??). 
En figure 1 sont representes : 

30 - un premier reseau 10, 

- un premier terminal de premier reseau 1 1 , 

- un deuxieme terminal de reseau, aussi appele par la suite u 
serveur de donnees et de messages " 40, 
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- un deuxieme reseau 20, 

- un troisieme terminal de deuxieme reseau 21, et 

- un serveur d'information 30. 

Selon I'invention, I'utilisateur du premier terminal 11 est identifie par 

5 son adresse unique sur le deuxieme reseau 20. 

Celui-ci est preferentiellement securise, c'est-a-dire que chaque 
adresse y est certifiee par un tiers de confiance, et, en outre, I'information transmise 
est confidentielie. Le tiers considere est preferentiellement un operateur de 
telephonie, ou, plus generalement, tout organisme qui dispose d'une base de 

10 donnees d'utilisateur d'un terminal a adresse unique. 

Le terminal de premier reseau 11 peut etre, par exemple, un telephone, 
un terminal informatique, un telecopieur, un terminal telematique, un televiseur 
equipe d'un boltier adapte a recevoir et a emettre des donnees informatiques (boitier 
communement appele un decodeur de television), un terminal de paiement 

15 electronique (figure 2). 

Le terminal de deuxieme reseau 21 peut etre, par exemple, v un 
telephone, un telecopieur, un terminal telematique, un decodeur de television, un 
telephone mobile ou un recepteur de messages («pageur») ou un assistant 
personnel numerique (communement appele «PDA»). 

20 Dans un premier mode de realisation de la presente invention, dans un 

premier temps, Putilisateur utilise le terminal 11 de premier reseau 10 pour entrer en 
communication avec le serveur d'information 30. II ouvre ainsi une session de 
communication entre le terminal 11 et le deuxieme terminal de reseau 40. Ensuite, le 
serveur d'information 30 fournit une information confidentielie a I'utilisateur, par 

25 Tintermediaire : 

- du serveur de donnees et de messages 40, 

- du deuxieme reseau 20, et 

- du terminal de deuxieme reseau 21 . 

Enfin, I'utilisateur report Tinformation confidentielie au niveau du 
30 terminal du deuxieme reseau 21 et effectue une saisie manuelle d'un message 
confidentiel, constitue ici de I'information confidentielie, pour le transmettre au 
serveur d'information 30, au cours de la meme session, par I'intermediaire : 
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- du terminal de premier reseau 1 1 et 

- du premier reseau 10. 

Le serveur de donnees et de messages 40 verifie alors la 
correspondance du message confidentiel et de I' information confidentielle, c'est-a- 
5 dire si le message confidentiel est representatif de Information confidentielle, et, en 
cas de correspondance, il donne Tacces a des services particuliers, payants ou 
confidentiels. 

L'utilisateur, d'une part, et la transaction, d'autre part, sont done 
authentifies car la saisie manuelle prouve I'identite de l'utilisateur qui regoit 
10 Tinformation confidentielle ainsi que I'utilisation des deux terminaux simultanement 
par le meme utilisateur. 

En figure 2 sont representes : 

- un premier terminal, dit «utilisateur» 100 relie a un premier support de 
communication 101 faisant partie d'un reseau de communication ; 

15 - un serveur d'information 103, relie au premier support d'information 

101 ; 

- un serveur de donnees 105, relie par une ligne de telecommunication 
106 et/ ou une ligne informatique 106 au serveur d'information 1 03 ; 

- un serveur de messages 109, reliee par un deuxieme support de 
20 communication 110 a un recepteur 111 et par un troisieme support de 

communication 113, au serveur de donnees 105 ; et 

- une base de donnees d'abonnes 107 reliee au serveur de message 
109 et au serveur de donnees 105. 

Dans le mode de realisation decrit et represents ici, le terminal 
25 utilisateur 100 est un ordinateur personnel (communement appele " PC M ) ou un 
ordinateur de reseau (communement appele " NC "), ou encore un Minitel (marque 
deposee) qui comporte un modem relie a un reseau de telecommunication filaire, 
comme par exemple le reseau telephonique commute. Le premier support de 
communication 101 est alors un canal de ce reseau de telecommunication. Le 
30 terminal utilisateur 100 met en oeuvre un logiciel de communication de type connu, 
qui lui permet de communiquer a distance avec le serveur d'information 103, par 
Nntermediaire du support de communication. 
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Le serveur d' information 103, relie au premier support d'information 
101 est un serveur informatique de type connu, qui est ici adapte a mettre en oeuvre 
un logiciel specifique, conforme a ^invention (illustre en I'une des figures 4 a 13). 

Le serveur de donnees 1 05 est un serveur informatique de type connu 
5 qui fonctionne comme il est indique ci-dessous ( en relation avec le serveur 
d'information 103, par I'intermediaire de la ligne 106, elle aussi de type connu. 

Le serveur de messages 109 est un systeme informatique de type 
connu qui gere un ou des reseaux de communication de types connus, un canal de 
Tun de ces reseaux constituant un deuxieme support de communication. Un canal 
10 specialise fournit le troisieme support 113 pour la communication entre le serveur 
d'information 103 et le serveur de messages 109. 

La base de donnees d'abonnes 107 est un registre de memoire de type 

connu. 

On observe ici que la base de donnees d'abonnes 107 peut etre reliee 
15 directement a plusieurs systemes informatiques : 

- a celui du fournisseur de service dans le cas d'un reseau externe a 
une entreprise, en particulier dans certains cas de mise en oeuvre de la presente 
invention avec un abonnement prealable de I'utilisateur au service, 

- dans I'entreprise, dans le cas ou le reseau est interne a I'entreprise, 
20 - a celui d'une banque ou d'un tiers de confiance, en particulier dans le 

cas d'utilisation de r invention sans abonnement. 

Enfin, dans certains cas, la base de donnees n'est pas necessaire, 
I'adresse unique sur le deuxieme reseau etant fournie, sur le premier reseau, soit 
par un certificat de protocole de paiement stocke sur le poste (ou « ordinateur ») 
25 client, soit par I'utilisateur, lui-meme. 

Le deuxieme support de communication 110 est un reseau de 
communication de type connu. Sur ce deuxieme reseau, chaque recepteur possede 
une adresse unique qui est certifiee au moment de I'attribution de i'adresse du 
recepteur 111. 

30 Le recepteur 111 est, dans le mode de realisation decrit et represents 

ici, un telephone portable (communement appele «mobile») ou un recepteur de 
message (communement appele " pageur "), un telecopieur ou un telephone fixe ou 
un terminal equipe d'un modem. II est adapte a recevoir un message confidentiel et 
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a le mettre a disposition de I'utilisateur, par exemple par affichage sur ecran, 
emission vocale ou impression sur papier. En variante, les serveurs d'information 
103 et le serveur de messages 109 sont confondus. 
On observe ici que : 

5 - dans le cas ou le recepteur 111 ne sert a I'utilisateur qu'a recevoir 

une information confidentielle sans emettre le message confidential, il n'est pas 
necessaire qu'il permette remission sur le reseau 110, 

- en revanche, lorsque, conformement a certaines variantes de la 
presente invention, le recepteur 111 sert d'une part a recevoir ('information 

10 confidentielle et d'autre part a emettre le message confidentiel, il est necessaire qu'il 
permette remission sur le reseau 110. 

En figure 3, on observe, dans une architecture materielle et logicielle 
permettant la mise en oeuvre de la presente invention : 

- un terminal informatique 301 , 
15 - un reseau informatique 302, 

- un serveur d'information 103, 

- un reseau local 304, 

- un serveur de donnees 105, 

- une base de donnees 107, 
20 - un serveur de messages 109, 

- un reseau 308, 

- un moyen de diffusion 309, 

- un reseau de radiotelephonie 310, 

- un reseau de telephonie cellulaire 31 1, 

25 - un recepteur de messages alphanumeriques 312 (appele M pageur "), 

- un telephone mobile 313, 

- un reseau commute 314, et 

- un telephone ou telecopieur 315. 

Le terminal informatique 301 est, par exemple un micro-ordinateur 
30 connu sous le nom de «PC». II comporte un modem permettant la communication en 
emission et en reception, avec le reseau informatique 302. Le reseau informatique 
302 est ici le reseau informatique mondial connu sous le nom d , «internet». Le 
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serveur d'information 103 est de type connu pour la mise en oeuvre de sites de 
fournisseurs de services sur le reseau 302. 

Le reseau local 304 est de type connu. C'est un reseau d'entreprise, 
par exemple du type LAN Manager (marque deposee) Netware (marque deposee de 
5 la societe NOVELL, ce nom etant aussi une marque deposee). 

Le serveur de donnees 105 et le serveur de message 109 sont de 
types connus. La base de donnees 107 est de type connu. 

Le reseau 308 est de type connu, par exemple de type Reseau 
Numerique a Integration de Service (« RNIS »). 
10 Le moyen de diffusion 309 est un emetteur hertzien, de type connu 

pour la mise en oeuvre du reseau de communication mobile 310. II est, par exemple 
cellulaire ou par satellite. 

Dans le mode de realisation decrit et represents en figure 3, au moins 
Tun des trois reseaux de communication suivants est utilise : 
15 - le reseau de radiotelephonie 310 qui ne permet que la communication 

dans le sens de la diffusion depuis un emetteur vers des recepteurs de messages 
alphanumeriques comme le recepteur 312, sans que ceux-ci ne puissent emettre de 
signaux a distance, 

- un reseau de telephonie mobile 31 1 , permettant la communication en 
20 particulier avec des telephones mobiles, comme le telephone 313, et 

- un reseau commute 314 permettant ici la communication avec un 
telephone fixe ou un telecopieur fixe 315. 

Ces trois reseaux fonctionnent par abonnement, avec certification de 
Tidentite de I'abonne. Sur chacun de ces reseaux, le recepteur possede une adresse 

25 unique, c'est-a-dire que I'adresse qui lui est attribute n'est pas attribute a un autre 
recepteur (sauf dans certains cas d'abonnements groupes demandes par 
I'utilisateur). Cette adresse unique s'apparente a un numero de telephone et/ou a un 
numero de carte SIM (acronyme de « Subscriber Identity Module » pour « module 
d'identite d'abonne »), module securise d'identification du portable, par exemple, 

30 dans le cas d'un reseau de telecommunication mobile connu sous le nom de 
« GSM » (acronyme de « Global System for Mobile » pour « systeme globale pour 
mobiles »). 
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On observe ici que les appareils destines a fonctionner sur ie reseau 
GSM utilisent une carte a microprocesseur. Cette carte fournit aux modes 
particuliers de I'invention qui la mettent en ceuvre I'avantage d'une double securite. 

Dans le cas iilustre en figure 3, c'est preferentiellement le meme 
5 utilisateur qui met en oeuvre le terminal informatique 301, d'une part, et le recepteur 
alphanumerique 312, le telephone mobile 313, le telecopies fixe ou le telephone 
fixe, d'autre part. 

Les figures 4 a 9 qui illustrent differentes applications de la presente 
invention, utilisent le meme formalisme : sur chacune de ces figures, les operations 
10 sont representees de haut en bas, dans I'ordre de leur succession chronologique. 
Sur ces figures, sont representees : 

- sur la colonne verticale la plus a gauche et sous forme de rectangles, 
les operations effectuees par I'utilisateur, en mettant en oeuvre soit le terminal relie 
au premier support de communication (terminal A») soit le terminal relie au 

15 deuxieme support de communication (terminal B»), le terminal utilise etant inscrit 
dans un losange auquel le rectangle representant I'operation consideree se 
superpose ; 

- sur une colonne centrale, des transmissions d' information 
successives sur Tun ou I'autre support de communication (« A » pour le reseau 

20 informatique 302 ou « B » pour le reseau de telecommunication les reseaux 308, 
310, 311 et/ou 314), sous forme de fleches dont le sens correspond au sens de 
communication, c'est-a-dire que le sens de gauche a droite, correspond au sens 
utilisateur vers serveur et que le sens de droite a gauche correspond au sens 
serveur vers utilisateur. 

25 - On observe ici que pour chaque transmission d'information, plusieurs 

signaux peuvent etre echanges entre les systemes eiectroniques mis en oeuvre 
(synchronisation, selection de protocole de communication, information, 
redondances, acquittement de transmission, retransmission en cas d'erreur de 
transmission, ...). Dans ces fleches, le serveur «A» correspond au premier reseau et 

30 le serveur «B» au deuxieme reseau ; 

- sur une colonne verticale plus a droite que les deux precedentes (la 
plus a droite en figures 4 a 6 et 9), sous forme de rectangles, les operations 
effectuees par le serveur de donnees 105 ; et 
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- en figures 7, 8 et 10, sur une colonne verticale situee ia plus a droite t 
un serveur mis en communication avec le serveur de donnees 105. 

En figure 4, on observe une succession d'operations mises en oeuvre 
dans certaines applications de ('invention, par les elements illustres en figures 2 et 3 

5 : 

- au cours d'une operation 200, I'utilisateur du terminal utilisateur 101 
entre en communication avec le serveur d'information 103, par I'intermediaire du 
premier support de communication. Au cours de cette operation 200, il fournit un 
identifiant unique (par exemple un numero d'abonne, un nom ou une adresse 

10 physique); 

- au cours de I'operation 201, le serveur d'information 103 attribue un 
numero de session unique des la connexion du terminal «utilisateur» 100 au serveur 
d'information 103. Au cours de cette operation 201, le serveur d'information 103 
transmet I'identifiant au serveur de donnees 105 ; 

15 - au cours de ('operation 202, le serveur de donnees 105 calcule une 

information confidentielle aussi appelee par la suite «secret», au serveur de 
messages 109. A cet effet, le serveur de donnees 105 calcule le secret comme etant 
une representation d'une fonction algorithmique utilisant un invariant (c'est-a-dire 
une valeur qui ne varie pas d'une session a I'autre, comme I'identifiant, par 

20 exemple), un variant (c'est-a-dire une valeur qui varie a chaque sessions), pour 
eviter les repetitions (numero de session, par exemple) et d'un marqueur tempore! 
(c'est-a-dire d'une valeur d'horloge) afin de borner I'utilisation d'un secret dans le 
temps. Preferentiellement, il met en oeuvre une fonction de calcul d'information 
confidentielle (ou «secret») irreversible, c'est-a-dire dont on ne peut retrouver 

25 reformation d'entree lorsque Ton connait celle de sortie. Pour la mise en oeuvre de 
I'operation 202, le lecteur pourra se referer a des livres d'algorithmes de securite 
bien connus, et en particulier aux descriptions des fonctions connues sous les noms 
de «hashing», «Message Digest», et «SHA» ; 

- Toperation 203 prend plusieurs formes differentes selon que 
30 I'identifiant est deja dans la base de donnees ou non : dans ('affirmative, I'adresse 

unique y est lue, dans la negative, il est fait appel a un tiers de confiance, qui est, 
ici, I'operateur du deuxieme reseau ou tout autre organisme habilite a jouer le role 
de tiers de confiance ; 
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- au cours de I'operation 204, I'adresse unique du recepteur 111 est 
determinee : elle est representative, dans la base de donnees 107, de I'identifiant 
transmis par le serveur d'information 103 au serveur de message 109, au cours de 
I'operation 203 ; 

5 - au cours de I'operation 204, le serveur de messages 109 transmet, 

par i'intermediaire du reseau 110, Tinformation confidentielle transmise au cours de 
I'operation 203 au recepteur 111 qui possede ladite adresse unique ; 

- au cours de I'operation 207, ('information confidentielle, aussi appelee 
ici «secret» est fournie a I'utilisateur, soit en etant affichee sur I'afficheur du 

10 recepteur 111, soit en etant donnee de maniere vocale ou telecopiee ; 

- au cours de ('operation 208, I'utilisateur fournit au serveur 
d'information 103, qui, lui-meme, le retransmet au serveur de donnees 105, un 
message confidentiel representatif de reformation confidentielle (par exemple 
identique a cette information confidentielle ou «secret»), par I'intermediaire du 

15 clavier du terminal utilisateur 100 ; 

- au cours de I'operation 205, le serveur ^information 103 regoit ce 
message confidentiel ; 

- au cours du test 210, le serveur de donnees 105 determine si ce 
message confidentiel est representatif de ('information confidentielle generee par le 

20 serveur de donnees 105, au cours de I'operation 202, ou non ; 

- lorsque le resultat du test 210 est positif, le serveur de donnees 105 
donne a I'utilisateur faeces aux ressources protegees ; 

- lorsque le resultat du test 210 est negatif, le serveur de donnees 105 
transmet, a I'utilisateur, un message d'erreur, en precisant eventuellement une 

25 cause d'echec (trap de temps ecoule entre la transmission de I'information 
confidentielle et sa reception, ...) et I'acces aux ressources protegees est refuse a 
I'utilisateur. 

Enfin, la suite de la session ouverte sur le premier support de 
communication est de type connu, mais, grace a la mise en oeuvre de la presente 
30 invention, I'utilisateur est authentifie de maniere forte. 

On observe ici que, meme si le secret venait a etre connu, du fait que 
ce secret correspond au numero de session unique attribue dynamiquement par le 
serveur d'information 103 et du fait que la session reste ouverte (mode connecte) 
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jusqu'a renvoi du secret, ce secret ne pourrait etre utilise pour realiser des 
operations frauduleuses. En effet, toute nouveile session ouverte se verrait alors 
attribuer un autre secret. 

En figure 5, on observe une succession d'operations mises en oeuvre 
5 par les elements illustres en figures 2 et 3, dans une application de I'invention a 
I'authentification, pour acces a des donnees protegees : 

- au cours d'une operation 500, I'utilisateur du terminal utilisateur 101 
entre en communication avec le serveur d'information 103, par I'intermediaire du 
premier support de communication. Au cours de cette operation 500, il fournit un 

10 identifiant unique (par exemple un numero d'abonne, un nom, ou une adresse 
physique) ; 

- au cours de I'operation 501, le serveur d'information 103 attribue un 
numero de session unique des la connexion du terminal utilisateur au serveur 
d'information 103. Au cours de cette operation 501, le serveur d'information 103 

15 transmet I'identifiant au serveur de donnees 105 ; 

- au cours de I'operation 502, le serveur de donnees 105 calcule une 
information confidentielle aussi appelee par la suite «mot de passe jetable», au 
serveur de messages 109. A cet effet, le serveur de donnees 105 calcule 
Tinformation confidentielle a partir d'un invariant (ridentifiant, par exemple), d'un 

20 variant pour eviter les repetitions (numero de session, par exemple) et d'un 
marqueur temporel (rhorloge) afin de borner ('utilisation d'un secret dans le temps. 
Preferentiellement, il met en oeuvre une fonction de calcul d'information 
confidentielle irreversible, c'est-a-dire dont on ne peut retrouver rinformation 
d'entree lorsque I'on connalt celle de sortie. Pour la mise en oeuvre de I'operation 

25 502, le lecteur pourra se referer aux livres mentionnes plus haut ; 

- au cours de I'operation 504, Tadresse unique du recepteur 111 est 
determinee : elle est representative, dans la base de donnees 107, de ridentifiant 
transmis par le serveur d'information 103 au serveur de message 109, au cours de 
I'operation 503 ; 

30 - au cours de I'operation 505, le serveur de messages 109 transmet, 

par I'intermediaire du reseau 110, Tinformation confidentielle aussi appelee ici «mot 
de passe jetable» t au cours de I'operation 503 au recepteur 111 qui possede ladite 
adresse unique ; 
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- au cours de I'operation 507, reformation confidentielle, aussi appelee 
ici «mot de passe jetable» est fournie a I'utilisateur, soit en etant affichee sur 
Tafficheur du recepteur 111, soit en etant donnee de maniere vocale ou telecopiee ; 

- au cours de ('operation 508, I'utilisateur fournit au serveur 
5 d'information 103, qui, lui-meme, le retransmet au serveur de donnees 105, un 

message confidentiel representatif de Tinformation confidentielle (par exemple 
identique a cette information confidentielle, ou «mot de passe jetable»), par 
I'intermediaire du clavier du terminal utilisateur 1 00 ; 

- au cours de I'operation 509, le serveur d'information 103 report ce 
10 message confidentiel ; 

- au cours du test 510, le serveur de donnees 105 determine si ce 
message confidentiel est representatif de I' information confidentielle generee par le 
serveur de donnees 105, au cours de I'operation 503, ou non ; 

- lorsque le resultat du test 510 est positif, le serveur de donnees 105 
15 valide 1'acces a I'information protegee ; 

- lorsque le resultat du test 510 est negatif, le serveur de donnees 105 
transmet un message d'erreur et d'invalidation d'acces, en precisant eventuellement 
une cause d'echec (trop de temps ecoule entre la transmission de reformation 
confidentielle et sa reception, ...) et I'acces a I'information protegee est refuse. 

20 Enfin, la fin de la session est de type connu. 

En figure 6, on observe une succession d'operations mises en oeuvre 
par les elements illustres en figures 2 et 3 t dans une application de ('invention a la 
certification de message : 

• a la suite d'une operation d'ouverture de session, non representee, 
25 entre le terminal utilisateur 100 et le serveur d'information 103, 

- au cours de I'operation 601, le serveur d'information 103 attribue un 
numero de session unique ; 

- au cours d'une operation 600, I'utilisateur du terminal «utilisateur» 
100 initie, sur le premier support de communication, une procedure de transaction 

30 (par exemple virement de compte a compte, commande ou ordre boursier) (voir ci- 
dessus en regard de la figure 4) ; 

- au cours de I'operation 603, le serveur de donnees 105 calcule une 
information confidentielle aussi appelee, par la suite, «certificat de message» a 
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partir d'un invariant (I'identifiant, par exemple), d'un variant pour eviter les 
repetitions (numero de session, par exemple) et d'un marqueur temporel (I'horloge) 
afin de borner I'utilisation d'un secret dans le temps. Preferentiellement, il met en 
oeuvre une fonction de calcul d ! information confidentielle irreversible, c'est-a-dire 
5 dont on ne peut retrouver reformation d'entree lorsque Ton connalt celle de sortie. 
Pour la mise en oeuvre de I'operation 603, le lecteur pourra se referer aux livres 
mentionnes plus haut ; 

- au cours de I'operation 604, Tadresse unique du recepteur 111 est 
determinee : elle est representative, dans la base de donnees 107, de I'identifiant 

10 transmis, par le serveur d'information 103, au serveur de message 109, au cours de 
I'operation 603 ; 

- au cours de I'operation 605, le serveur de messages 109 transmet, 
par ('intermediate du reseau 110, I'information confidentielle aussi appelee ici 
«certificat de message», transmis au cours de I'operation 603 au recepteur 111 qui 

15 possede ladite adresse unique ; 

- au cours de I'operation 607, I'information confidentielle, aussi appelee 
ici «certificat de message» est fournie a Tutilisateur, soit en etant affichee sur 
Tafficheur du recepteur 111, soit en etant donnee de maniere vocale ou telecopiee ; 

- au cours de I'operation 608, I'utilisateur fournit au serveur 
20 d'information 103, qui, lui-meme, le retransmet au serveur de donnees 105, un 

message confidentiel representatif de Tinformation confidentielle (par exemple 
identique a cette information confidentielle, ou «certificat de message»), par 
Tintermediaire du clavier du terminal utilisateur 100 ; 

- au cours de I'operation 609, le serveur d'information 103 re?oit ce 
25 message confidentiel ; 

- au cours du test 610, le serveur de donnees 105 determine si ce 
message confidentiel est representatif de I'information confidentielle generee par le 
serveur de donnees 105, au cours de I'operation 603, ou non ; 

- lorsque le resultat du test 610 est positif, le serveur de donnees 105 
30 valide la transaction effectuee, puis reprend ; 

- lorsque le resultat du test 610 est negatif, le serveur de donnees 105 
transmet un message d'erreur et d'invalidation de transaction, en precisant 
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eventuellement une cause d'echec (trop de temps ecoule entre la transmission de 
(•information confidentielle et sa reception, ...) et ne realise pas la transaction. 
Enfin, la fin de la session est de type connu. 
Selon une variante non representee : 

- au cours de I'operation 603, le «certificat de message* est aussi 
determine, par le serveur de donnees 105, a partir d'un montant d'un virement et/ou 
d'un numero de compte bancaire emetteur et/ou d'un numero de compte bancaire 
recepteur, 

- au cours de I'operation 605, le serveur de messages 109 transmet, 
par I'intermediaire du reseau 110, 1'information confidentielle et le montant du 
virement, en clair et, plus generalement, une information representative de la 
transaction effectuee (produit ou service acquis et quantite concernee) ; et 

- au cours de I'operation 607, reformation confidentielle ainsi que le 
montant sont fournis a I'utilisateur qui verifie I'integrite du montant du virement en 

1 5 cours. 

En figure 7, on observe une succession d'operations mises en oeuvre 
par les elements illustres en figures 2 et 3, dans une application de Invention au 
paiement electronique en ligne, dans le cas d'un service sans abonnement : 

- a la suite d'une operation d'ouverture de session, non representee, 
20 entre le terminal utilisateur 1 00 et le serveur d'information 1 03, 

- au cours de I'operation 700, le serveur d'information 103 attribue un 

numero de session unique secret ; 

- au cours d'une operation 701, le serveur d'information 103 recoit de la 

part du terminal utilisateur 100, un identifiant ; 

- au cours d'une operation 702, I'utilisateur du terminal utilisateur 101 
choisit un bien ou un service qu'il souhaite acheter, puis initie une procedure de 
paiement (voir ci-dessus en regard de la figure 4) ; 

- au cours de I'operation 703, le serveur de donnees 105 recoit la 
demande de paiement de la part du terminal utilisateur 100 ; 

3Q . au cours de I'operation 704, I'utilisateur fournit au serveur 

d'information 103 de I'information confidentielle concernant sa carte de paiement ; 

- au cours d'une operation 705, I'adresse unique du recepteur 111 est 
determinee : elle est representative, dans la base de donnees 107, de I'identifiant 



25 
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transmis par le serveur conformation 103 au serveur de message 109, au cours de 
I'operation 701 ; 

- au cours d'une operation 707, le serveur de donnees 105 effectue 
une demande d'autorisation bancaire au serveur 706 d'une banque ou Putilisateur 

5 dispose du compte auquel est rattache la carte de paiement concernee par 
I'operation 704. Le serveur de donnees 105 fournit le montant de la transaction 
envisagee au serveur bancaire 706. Le serveur d'information 103 re?oit, en retour, 
de la part du serveur bancaire 706, une autorisation de paiement, selon des 
modal ites bancaires de type connues qui dependent, en particulier, des conventions 
10 passees entre la banque et ie client considere et de I'eventuelle autorisation de 
decouvert sur ledit compte (voir le protocole connu de Phomme du metier sous le 
nom de « CBSA » pour « Carte Bancaire Systeme Autorisation ») ; 

- au cours d'une operation 708, le serveur d'information 103 calcule 
une information confidentielle aussi appelee, par la suite «certificat de transaction» 

1 5 a partir : 

. d'un invariant (I'identifiant, par exemple), 

. d'un variant pour eviter les repetitions (numero de session, par 
exemple), 

. du montant de la transaction et 
20 . d'un marqueur temporel (I'horloge) afin de borner {'utilisation 

d'un secret dans le temps. 
Preferentiellement, il met en oeuvre une fonction de calcul 
^information confidentielle irreversible, c'est-a-dire dont on ne peut retrouver 
information d'entree lorsque Ton connait celle de sortie. Pour la mise en oeuvre de 
25 ('operation 708, le lecteur pourra se referer aux livres mentjonnes plus haut. Au 
cours de cette operation 708, le certificat de transaction et le montant de la 
transaction envisagee sont diffuses, par Tintermediaire du reseau 110, au recepteur 
111 qui possede ladite adresse unique ; 

- au cours de I'operation 709, information confidentielle, aussi appelee 
30 ici «certificat de transaction» est mise a disposition de Tutilisateur, conjointement au 

montant de la transaction, en clair, soit en etant affichee sur Tafficheur du recepteur 
111, soit en etant donnee de maniere vocale ou telecopiee, ce qui permet le 
controle t par Tutilisateur, de Tintegrite de la transaction qu'il realise ; 
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- au cours de I'operation 710, Tutilisateur fournit au serveur 
d" information 103, qui, lui-meme, le retransmet au serveur de donnees 105, un 
message confidentiel identique a (ou, en variante, representatif de) r information 
confidentielle constitute par le certificat de transaction, par I'intermediaire du clavier 

5 du terminal utilisateur 100 ; 

- au cours de I'operation 711, le serveur ^information 103 re9oit ce 
message confidentiel ; 

- au cours du test 712, le serveur de donnees 105 determine si ce 
message confidentiel est representatif de reformation confidentielle generee par le 

10 serveur de donnees 105, au cours de I'operation 708, ou non ; 

- lorsque le resultat du test 712 est positif, le serveur de donnees 105 
valide le paiement effectue, ce paiement etant effectivement realise entre les 
organismes bancaires selon des techniques connues, puis reprend le 
fonctionnement de presentation d'offres commerciales ; 

15 - lorsque le resultat du test 712 est negatif, le serveur de donnees 105 

transmet a Tutilisateur un message d'erreur et d'invalidation du paiement, en 
precisant eventuellement une cause d'echec (trap de temps ecoule entre la 
transmission de reformation confidentielle et sa reception, ...) et le paiement n'est 
pas effectue. 

20 Enfin, la fin de la session est de type connu. 

En variante du mode de realisation illustre en figure 7, I'operation 707 
est effectuee apres toutes les autres operations, mais avant la fin de session. 

En figure 8, on observe une succession d'operations mises en oeuvre 
par les elements illustres en figures 2 et 3, dans une application de invention au 
25 paiement electronique en ligne, dans le cas d'un service avec abonnement : 

- a la suite d'une operation d'ouverture de session, non representee, 
entre le terminal utilisateur 100 et le serveur ^information 103, 

- au cours de I'operation 800, le serveur dWormation 103 attribue un 
nurnero de session unique secret ; 

30 - au cours d'une operation 801 , le serveur d'information 1 03 re?oit de la 

part du terminal utilisateur 100, un identifiant ; 
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- au cours d'une operation 802, I'utilisateur du terminal utilisateur 101 
choisit un bien ou un service dont il souhaite avoir le benefice, puis initie une 
procedure de paiement (voir ci-dessus en regard de la figure 4) ; 

- au cours de i'operation 803, le serveur de donnees 105 re?oit la 
5 demande de paiement de la part du terminal utilisateur 100 ; 

- au cours de I'operation 805, le serveur de donnees 105 effectue, 
preferentiellement de maniere securisee, une demande d'autorisation bancaire au 
serveur 706 d'une banque ou I'utilisateur dispose du compte auquel est rattache la 
carte de paiement concernee par ('operation 804. II fournit le montant de la 

10 transaction envisagee au serveur bancaire 806 ainsi que des donnees concernant la 
carte de paiement, ces donnees etant conservees par le serveur d'information 103 a 
compter de I'abonnement de I'utilisateur au service considere. Le serveur 
d'information 103 regoit, en retour, de la part du serveur de banque 806, une 
autorisation de paiement, selon des modalites bancaires qui dependent du montant 

15 disponible sur le compte bancaire considere et de I'eventuelle autorisation de 
decouvert sur ledit compte ; 

- au cours d'une operation 807, Tadresse unique du recepteur 111 est 
determinee : elle est representative, dans la base de donnees 107, de I'identifiant 
transmis par le serveur d'information 103 au serveur de message 109, au cours de 

20 I'operation 801 ; 

- au cours d'une operation 808, le serveur d'information 103 calcule 
une information confidentielle aussi appelee, par la suite, «certificat de transaction» 
(voir figure 7) ; 

- au cours de I'operation 809, ('information confidentielle, aussi appelee 
25 ici «certificat de transaction» est fournie a I'utilisateur, conjointement au montant de 

la transaction, en clair, soit en etant affichee sur I'afficheur du recepteur 111, soit en 
etant donnee de maniere vocale ou telecopiee, ce qui permet le controle de 
Tintegrite de la transaction par I'utilisateur ; 

- au cours de I'operation 810, I'utilisateur fournit au serveur 
30 d'information 103, qui, lui-meme, le retransmet au serveur de donnees 105, un 

message confidentiel identique a, ou, en variante, representatif de, reformation 
confidentielle constitute par le certificat de transaction, par T intermediate du clavier 
du terminal utilisateur 100 ; 
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- au cours de I'operation 811, le serveur d' information 103 regoit ce 
message confidentiel ; 

- au cours du test 812, le serveur de donnees 105 determine si ce 
message confidentiel est representatif de rinformation confidentielle generee par le 

5 serveur de donnees 105, au cours de I'operation 808, ou non ; 

- lorsque le resultat du test 812 est positif, le serveur de donnees 105 
valide le paiement effectue, ce paiement etant ensuite effectivement realise entre les 
organismes bancaires selon des techniques connues, puis reprend le 
fonctionnement de presentation d'offres commerciales ; 

10 - lorsque le resultat du test 812 est negatif, le serveur de donnees 105 

transmet a I'utilisateur un message d'erreur et d'invalidation du paiement, en 
precisant eventuellement une cause d'echec (trop de temps ecoule entre la 
transmission de rinformation confidentielle et sa reception, ...) et le paiement n'est 
pas effectue. 

15 Enfin, la fin de la session est de type connu. 

En variante du mode de realisation illustre en figure 8, I'operation 805 
est effectuee apres toutes les autres operations, mais avant la fin de session. 

En figure 9, on observe une succession d'operations mises en oeuvre 
par les elements illustres en figures 2 et 3, dans une application de I'invention au 
20 paiement avec un terminal de paiement electronique : 

- au cours d'une operation 915, I'utilisateur introduit sa carte de 
paiement dans un terminal de paiement electronique («TPE») qui constitue le 
terminal dit «utilisateur» ; 

- au cours d'une operation 916, le commergant saisit le montant de la 
25 transaction sur ledit TPE ; 

- au cours d'une operation 900, une ouverture de session est effectuee 
entre le TPE 100, et le serveur ^information 103 et un numero de session unique et 
secret est attribue par le serveur de communication 1 03 ; 

- au cours d'une operation 901, le serveur d'information 103 report de la 
30 part du TPE 100, des informations portees par la carte de paiement ainsi que le 

montant de la transaction en cours, et le serveur d' information transmet une 
demande de I'identifiant du consommateur aupres de Torganisme bancaire 906 et 
re?oit cet identifiant en retour ; 
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- au cours d'une operation 907, I'adresse unique du recepteur 111 est 
determinee : elle est representative, dans la base de donnees 107, de I'identifiant 
transmis au cours de I'operation 901 ; 

- au cours d'une operation 908, le serveur d'information 103 calcule 
5 une information confidentielle aussi appelee, par la suite, «certificat de transaction» 

(voir figure 7) ; 

- au cours de I'operation 909, reformation confidentielle, aussi appelee 
ici «certificat de transaction)) est fournie a I'utilisateur, conjointement au montant de 
la transaction, en ciair, soit en etant affichee sur I'afficheur du recepteur 111, soit en 

10 etant donnee de maniere vocale, ce qui permet le controle de I'integrite de la 
transaction par I'utilisateur ; 

- au cours de I'operation 910, I'utilisateur fournit au serveur 
d'information 103, qui, lui-meme, le retransmet au serveur de donnees 105, un 
message confidentiel identique a, ou, en variante, representatif de, I'information 

15 confidentielle constitute par le certificat de transaction, par I'tntermediaire du clavier 
duTPE100; 

- au cours de I'operation 911, le serveur d'information 103 regoit ce 
message confidentiel ; 

- au cours du test 912, le serveur de donnees 105 determine si ce 
20 message confidentiel est representatif de I'information confidentielle generee par le 

serveur de donnees 105, au cours de I'operation 908, ou non ; 

- lorsque le resultat du test 912 est positif, le serveur de donnees 105 
valide le paiement effectue, ce paiement etant ensuite effectivement realise entre les 
organismes bancaires selon des techniques connues ; 

25 - lorsque le resultat du test 912 est negatif, le serveur de donnees 105 

transmet a I'utilisateur un message d'erreur et d'invalidation du paiement, en 
precisant eventuellement une cause d'echec (trop de temps ecoule entre la 
transmission de Tinformation confidentielle et sa reception, et le paiement n'est 
pas effectue. 

30 Une variante de I'operation 916 est la saisie par I'utilisateur de son 

code personnel aussi appele «PIN»(acronyme de « Personal Identification Number » 
pour « numero d' identification personnel »), avant le lancement de I'operation 900. 
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Enfin, la fin de la session est de type connu et le client recupere sa 
carte de paiement ainsi qu'un ticket imprime portant le montant du paiement 
effectue. 

En figure 10, on observe une succession d'operations rnises en oeuvre 
5 par les elements illustres en figures 2 et 3, dans une application de I'invention au 
paiement electronique en ligne, utilisant un tiers de confiance, dans le cas d'un 
service sans abonnement, application differente de celle illustree en figure 7. 

Dans cette application, le serveur de donnees 105 est situe 
preferentiellement avec le serveur de messages 109, et fait partie, avec celui-ci, du 
10 tiers de confiance (aussi appele tiers certificateur). A titre d'exemple, ces deux 
serveurs 105 et 109 se trouvent chez Toperateur de telecommunication. 

Dans cette applications, les operations mises en oeuvre se succedent 
de la maniere suivante. 

A la suite d'une operation d'ouverture de session, non representee, 
15 entre le terminal utilisateur 100 et le serveur d'information 103, au cours d'une 
operation 1000, le serveur d'information 103 attribue un numero de session unique 
secret. Au cours d'une operation 1001, I'utilisateur du terminal utilisateur 101 choisit 
un bien ou un service qu'il souhaite acheter, puis initie une procedure de paiement, 
en cooperation avec le serveur d'information 103. 
20 Le serveur d'information 103 regoit alors, au cours d'une operation 

1032, une demande de paiement et, en particulier, un montant de la transaction 
envisagee. 

Au cours d'une operation 1003, I'utilisateur du terminal utilisateur 101 
fournit un identifiant et, au cours d'une operation 1004, le serveur d'information 103 
25 regoit cet identifiant de la part du terminal utilisateur 100. 

Au cours d'une I'operation 1005, le serveur d'information 103 transmet 
une demande de paiement ainsi que I'identifiant de I'utilisateur et le montant de la 
transaction envisagee, au serveur de donnees 105, par I'intermediaire de la ligne de 
telecommunication 106. Au cours d'un test 1006, le serveur de donnees 105 
30 determine si le montant de la transaction envisage est superieur a un montant 
predetermine. 

Lorsque le resultat du test 1006 est negatif, une operation 1008 est 
effectuee (voir ci-dessous). 
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Lorsque le resultat du test 1006 est positif, le serveur de donnees 105 
recherche, au cours d'une operation 1007, dans sa base de donnees d'abonnes, le 
numero de la carte bancaire correspondant a Tidentificateur transmis et effectue une 
demande d'autorisation bancaire a un serveur d'une banque ou Tutilisateur dispose 
5 du compte auquel est rattache cette carte de paiement. 

Au cours d'un test 1009, le serveur de la banque determine, selon des 
regies connues en soit, si la transaction envisagee est autorisee, ou non. Lorsque le 
resultat du test 1009 est negatif, un refus est signifie a I'utilisateur, au cours d'une 
operation non representee, par ('intermediate du serveur d'information 103 et du 
10 terminal utilisateur 101. 

Lorsque le resultat du test 1009 est positif, le serveur de donnees 105 
report, au cours de ['operation 1008, de la part du serveur de banque, une 
autorisation de paiement, selon des modalites bancaires connues. 

Au cours de Toperation 1008, Tadresse unique du recepteur 111 est 
15 determinee : elle est representative, dans la base de donnees 107, de I'identifiant 
transmis par le serveur d'information 103 au serveur de message 109, au cours de 
Toperation 1001. 

Puis, les operations 708 et suivantes exposees en regard de la figure 
7, sont effectuees. - 

20 Cependant, dans le mode de realisation illustre en figure 10, lorsque le 

resultat du test 712 est positif, le serveur de donnees 105 valide le paiement 
effectue, puis retourne un accord de paiement au serveur 103, accompagne de 
Tadresse de Tabonne du service telephonique (A Tissue de la periode de facturation 
telephonique du tiers de confiance, ce paiement etant effectivement realise entre les 

25 organismes bancaires de Tacheteur et du tiers de confiance, selon des techniques 
connues. De meme a Tissue d'une periode de paiement, le tiers de confiance 
effectue la remise commergant et preleve, eventuellement, des frais de service.), 
puis reprend le fonctionnement de presentation d'offres commerciales. 

En revanche, lorsque le resultat du test 712 est negatif, le serveur de 

30 donnees 105 transmet a Tutilisateur un message d'erreur et d'invalidation du 
paiement, en precisant eventuellement une cause d'echec (trap de temps ecoule 
entre la transmission de Tinformation confidentielle et sa reception, ...) et le 
paiement n'est pas effectue. 
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Enfin, la fin de la session est de type connu. 

En figure 11, on observe un schema de systeme de paiement 
conforme a la presente invention et mettant en oeuvre les protocoles de paiement 
connus sous le nom de « SET » (acronyme de « Secure Electronic Transaction » 

5 pour « transaction electronique securisee »). Pour mieux connaitre ce type de 
transaction, le lecteur se reportera a la version 1 .0 des specifications du protocole 
SET, publiee le 31 Mai 1997. Cette version est incorporee ici par reference. 

Pour memoire, on rappelle que les entreprises VISA (marque deposee) 
et MASTERCARD (marque deposee) se sont associees pour definir un standard 

10 commun de paiement par cartes bancaires a travers des reseaux ouverts : le 
protocole SET. 

Les principaux objectifs de ce protocole SET sont les suivants : 

. rendre facile et rapide le developpement du commerce electronique, 

- creer la confiance sur le reseau entre acheteur et vendeur au moyen 
1 5 d'un echange de certificats, 

- separer le reseau Internet du reseau bancaire, 

- garantir I'integrite et la confidentiality des transactions grace au 
chiffrement des messages, 

- assurer I'interoperabilite entre standard bancaire ouvert et solution 
20 non proprietaire, 

- s'appuyer sur des normes deja existantes. 

Les principes et le fonctionnement du protocole SET s'appuient sur 
trois notions importantes : 

- le Gestionnaire de Telepaiement (connu de I'homme du metier sous 
25 le nom de « Payment Gateway »), qui assure I'etancheite entre le domaine Internet 

et le domaine bancaire, 

- les certificats qui sont des des publiques qui servent a authentifier les 
differents acteurs entrant dans la transaction (porteur-client, commergant, 
Gestionnaire de Telepaiement), 

30 - le tiers de confiance qui certifie les cles publiques qui deviennent 

alors des certificats. 

L' ensem t)ie du systeme SET repose sur Tutilisation de certificats. Le 
tiers de confiance certifie les cles publiques des porteurs-clients, des commergants 
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et des Gestionnaires de Telepaiement. Le tiers de confiance fait, lui-meme, I'objet 
d'une certification. On a ainsi un systeme en cascade, ou un tiers de confiance d'un 
niveau superieur certifie un tiers de confiance d'un niveau inferieur. Le systeme est 
hierarchique et, au sommet, se trouve I'Autorite Supreme qui est connue de tous et 
qui n'a pas besoin de s'authentifier. L'interet d'une telle hierarchie est de deleguer le 
travail de certification, tout en garantissant Tensemble du systeme. 

1) Pour son inscription, le client obtient sa cle en utilisant un logiciel 
specifique qui sera integre dans le navigateur, connu de I'homme du metier sous le 
nom de « browser » (ou « butineur »). II entre son numero de carte bancaire dans le 
programme. Celui-ci rend un fichier que le client doit renvoyer a Tune des 
entreprises VISA ou MASTERCARD, celle-ci renvoyant un certificat contenant une 
cle qui demeurera gravee dans le logiciel stocke sur le poste client. 

2) Pour la transaction : 

- le porteur consulte le catalogue sur le serveur et fait son choix. Le 
serveur commercant envoie alors au client un bon de commande virtuel (Order 
Information « Ol ») qui contient les informations sur le produit et le montant, ainsi 
que le certificat et la cle publique du commercant et du Gestionnaire de 
Telepaiement ; 

- le client envoie, au serveur commercant, son certificat et sa cle 
20 publique. Done, disposant de leur certificat reciproque, ils peuvent proceder a leur 

identification mutuelle ; 

- le client cree ensuite un PI (acronyme de « Payment Information » 
pour « Information de Paiement »). Ce PI contient des informations relatives au 
systeme bancaire, qui sont destinees exclusivement au Gestionnaire de 
Telepaiement. Pour cette raison, le client chiffre le PI avec la cle publique du 
Gestionnaire de Telepaiement. Cette operation terminee, le client assemble le bon 
de commande virtuel Ol et I'information de paiement PI, et signe le tout avec sa cle 
privee. Ce paquet est envoye au serveur commercant. 

- le serveur commercant est en mesure de verifier la validite du paquet 
grace a la cle publique du client. II peut done s'assurer que le client n'a pas modifie 
le bon de commande Ol. Toutefois, il lui est impossible de lire d'information de 
paiement PI. Le serveur commercant signe, a son tour, le paquet recu et le transmet 
au Gestionnaire de Telepaiement. Le bon de commande emis par le serveur 



25 



30 



BNSDOCID: <WO 992361 7A2_1_> 



WO 99/23617 



-34- 



PCTYFR98/02348 



commercant et I'ordre de paiement emis par le porteur sont lies d'une maniere 
indissociable au moyen de cette signature duale. 

- le Gestionnaire de Telepaiement verifie les certificats, la signature 
duale et la coherence entre le bon de commande (Ol) et I'ordre de paiement (PI). II 

5 sert alors d'interface avec le monde traditionnel du paiement par carte. 

- si les conditions habituelles de paiement par carte sont remplies, il 
confirme la transaction au serveur commercant. 

L'avantage de ce protocole est que, grace aux certificats, le client et le 
serveur commercant peuvent s'identifier mutuellement avant meme d'effectuer la 
10 transaction. 

Les inconvenients de ce protocoles sont que : 

- la multiplication des tiers de confiance est lourde a gerer, 

- la protection n'est que logicielle, 

- les certificats sont stockes sur les machines des clients. Done, en 
15 toute rigueur, I'authentification ne concerne pas le client mais son ordinateur. 

En regard de la figure 11 , on observe la mise en oeuvre de I'invention 
dans le cadre de la solution de paiement SET. Ce protocole met en oeuvre une 
relation tripartite, ordinateur du client 1101 - serveur commercant 1102 - 
Gestionnaire de Telepaiement 1103. Chacune de ces entites regoit des certificats 

20 SET generes par un gestionnaire de certification non represente. A la date du depot 
de la presente demande de brevet, le protocole SET ne permet pas I'authentification 
de maniere forte de I'acheteur, sauf a installer un lecteur de cartes a memoire. 

Dans un premier temps, un client initie I'achat en choisissant un bien 
ou un service sur un site commercant d'un reseau informatique. Le client declenche 

25 ensuite le paiement en validant I'achat (par exemple en cliquant sur une icone 
" validation achat "). 

Ensuite, le client doit taper un mot de passe statique pour initialiser le 
paiement, en dechiffrant le certificat SET stocke sur son ordinateur. 

Selon une variable non representee, un mode operatoire consiste a ne 
30 pas utiliser de certificat (conformement au protocole SET fonctionnant en mode « 2 
Kp »). Dans ce cas, aucun certificat n'est echange et seule une authentication du 
client est necessaire, conformement a la presente invention (ci-dessous). 
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Les echanges « ordinateur du client - serveur commergant - 
Gestionnaire de Telepaiement » s'initient afin de determiner les parametres de 
communication (trames appelees « PWakeUp », « PlnitReq » et « PlnitRes » dans la 
specification du protocole SET), les donnees contenues dans le certificat Client sont 

5 recuperees au niveau du Gestionnaire de Telepaiement (trame Preq(PAN)) qui les 
dechiffre et adresse une demande d'authentification du Client au serveur 
d'authentification 1 1 04. 

Ce serveur authentifie la transaction en calculant un code 
d'authentification de la transaction (« CAT ») et I'envoie, par I'intermediaire d'un 

10 message court (connu de Thomme du metier sous le nom de « SMS », acronyme de 
« Short Message System » pour « Systeme de Messages Courts ») au client identifie 
par son numero de telephone mobile 1 105 correspondant, dans la base de donnees 
abonnes, a Tidentifiant dechiffre dans le certificat SET Client qui est regu par le 
Gestionnaire de Telepaiement. 

15 Selon une variante non representee, le numero de telephone de 

I'abonne, sur le deuxieme reseau, est inclus, chiffre, dans un champ du certificat 
client SET. Dans ce cas, il n'est pas necessaire de disposer d'une base de donnees 
effectuant la correspondance entre le numero de mobile de I'abonne et son 
identifiant. A la reception du certificat client sur le Gestionnaire de Telepaiement, 

20 celui-ci dechiffre le certificat et utilise directement le numero du mobile contenu dans 
le certificat pour adresser le code d'authentification de la transaction du client. Ce 
principe de fonctionnement facilite Tinteroperabilite entre les operateurs de 
telecommunication et bancaires. 

Le client regoit alors un code d'authentification de transaction sous 

25 forme de message confidential, conformement a la presente invention. II saisit ce 
message sur son ordinateur dans un champ d'authentification prevu a cet effet. 

Le code d'authentification de transaction est alors envoye soit par 
I'intermediaire du serveur commergant, directement au Gestionnaire de 
Telepaiement, soit le soumet au serveur d'authentification qui le valide et declenche 

30 le paiement. 

Selon une variante non representee, le client regoit sous forme de 
message court SMS le montant de la transaction en clair associe au Code 
d' identification de la transaction afin qu'il verifie I'integrite du montant de son achat. 
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En figure 12, on observe la mise en oeuvre de I'invention dans le 
cadre de la solution de paiement connue de I'homme du metier sous le nom de 
Globeld (marque deposee) ou Kleline (marque deposee). 

Ce systeme repose sur le principe de porte-monnaie virtuel (PMV). II 
5 s'agit, en fait, d'un avoir que le client depose au prealable et qui est debite au fur et 
a mesure de ses achats. Les transactions sont d'une totale transparence pour le 
client. C'est le seul cas ou client et serveur commercant n'ont aucune relation 
directe. 

Pour utiliser le systeme Globeld, il suffit de telecharger une interface 
10 (appelee « Klebox », marque deposee, chez Kleline) et d'ouvrir un compte en 

s'adressant a GlobeOnLine (marque deposee) ou Kleline. Un client peut ouvrir 

plusieurs porte-monnaies virtuels. 

L'ouverture du porte-monnaie virtuel peut s'effectuer instantanement, 

en ligne. Dans ce cas, les coordonnees bancaires sont chiffrees (technologie RSA) 
15 et envoyees par I'intermediaire du reseau Internet. Elles peuvent egalement etre 

transmises par le telephone, la telecopie ou le courrier postal. En reponse, le service 

utilisant cette solution attribue au client un numero de porte-monnaie et un code 

confidentiel. 

A l'ouverture du porte-monnaie virtuel, le client effectue deux 
20 operations : il donne son numero de carte bancaire et les autres informations 
necessaires, puis verse, sur le porte-monnaie virtuel, un montant de son choix. Le 
client peut consulter I'etat de son porte-monnaie virtuel et y deposer de nouvelles 
sommes d'argent a tout moment. II lui est egalement permis de retirer tout ou partie 
de son avoir. 

25 Le porte-monnaie virtuel est lie a une ou plusieurs cartes bancaires. Le 

client a la possibility de personnaliser ses cartes bancaires, en leur donnant des 
noms, afin de ne pas les confondre. Des techniques de dedoublonnage assurent 
qu'a une carte correspond bien une seule personne. 

La transaction type se deroule comme suit : 

30 . |e client navigue sur le serveur commercant. Quand un produit 

Tinteresse, il clique dessus et se declare pret a I'acheter en envoyant un bon de 
commande au serveur commercant ; 
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- celui-ci emet un ticket de caisse a destination du serveur Globeld. Ce 
ticket de caisse comprend, d'une part, la nature et le montant de I'achat et, d'autre 
part, le numero de porte-monnaie virtuel du commerpant. Le tout est signe a partir 
du code confidentiel de ce dernier. Ensuite, Globeld verifie ce ticket (le serveur 

5 commergant est alors authentifie) et le fait apparaitre sur I'ecran de I'ordinateur du 
client ; 

- le client signe electroniquement ce ticket avec son code secret et le 
retourne a Globeld ; 

- Globeld authentifie alors le client avec sa cle publique et valide la 
10 transaction. Si le client a decide de payer avec sa carte, la validation a lieu aupres 

du reseau bancaire avec, eventuellement, une demande d'autorisation au reseau 
cartes bancaires. Si le client utilise son porte-monnaie virtuel, celui-ci est aussitot 
debite du montant de ia transaction ; 

- L'ordinateur du client emet enfin un bon de caisse vers le serveur 
15 commerpant (justificatif de la transaction) qui remet alors la marchandise. 

Toutes les communications dans les transactions sont chiffrees a I'aide 
de cles asymetriques de 512 bits. 

Les inconvenients de ce protocole sont que, pour le commerpant, il faut 
posseder un numero de porte-monnaie virtuel et un code confidentiel. 
20 En regard de la figure 12, on observe que, dans un mode particulier de 

realisation de la presente invention, mis en oeuvre en combinaison avec la solution 
Globeld: 

1. I'ordinateur du client 1201 choisit un bien ou un service sur un site 
commerpant 1202 et valide son achat. 
25 2. Le serveur commerpant demande alors un w ticket " (recepisse) a 

Tordinateur du client (echange " GRT1 ° sur la figure 12). 

3. L'ordinateur du client soumet, a son tour, cette demande au serveur 
dlntermediation 1203 (echange " GRT 2 n ). 

4. La phase d'authentification est alors mise en oeuvre (echange 
30 « CAC/CAR ») avec un code dynamique appele « TID » (pour « Transcode 

Identificateur ») genere par le serveur d'intermediation et envoye par Tintermediaire 
d'un reseau de telecommunication, sous le forme d'un message court SMS, adresse 
au telephone mobile 1204 dont le numero correspond a I'abonne identifie par 
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I'identificateur « userld » du client, stocke dans la base de donnees 1206 du serveur 

d'authentification 1205. 

Selon une variante non representee, on fait calculer et envoyer le code 
dynamique TID directement par I'operateur de telecommunication. Dans ce cas, le 

5 serveur ^intermediation transmet les informations necessaires au calcul du code 
dynamique TID, a I'operateur de telecommunication. 

Selon une autre variante non representee, ie client recoit, sous forme 
de message court SMS, le montant de la transaction, en clair, associe au code 
d'authentification de transaction afin qu'il verifie I'integrite du montant de son achat. 

[0 5. Le code d'authentification de transaction recu par I'intermediaire du 

mobile du client est saisi sur I'ordinateur utilise par le client et les informations de la 
transaction sont ajoutes au code dynamique TID et sont envoyees au serveur 
d'intermediation (" IS ") qui verifie la validite du code dynamique TID et valide, avec 
le serveur d'authentification, le code d'authentification de transaction recu de 

15 I'ordinateur du client. 

6. Le serveur d'intermediation delivre alors un recepisse (echange 
« GPT 3 »") a I'ordinateur du client qui I'adresse ensuite au serveur commercant 

(echange « GPT 4 »). 

Le protocole « SSL » (Secure Socket Level) est un protocole de 
20 communication securise entre deux entites. Le lecteur pourra se referer a la version 
3.0, des specifications edictant ce protocole, version de Mars 1996. Cette version 
est incorporee ici par reference. 

le protocole SSL est un protocole developpe par NETSCAPE. La phase 
de negotiation au depart . permet I'authentification du serveur commercant et, 
25 optionnellement, celle du client. Une fois cette phase terminee, les echanges sont 
cryptes avec la cle generee par I'ordinateur du client. 

Ainsi, le protocole de securite SSL code les donnees, authentifie le 
serveur et assure I'integrite des messages pour une connexion TCP/IP (« Transport 
Telecommunication Protocol / Internet Protocol) : 
30 . notamment, le chiffrement des donnees (RC4), 

I'authentification du serveur commercant pour le client (differentes 
methodes de chiffrement asymetrique), 
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10 



. I'integrite des donnees (MD2, MD5), 
. la non repudiabilite des echanges, et 
optionnellement, I'authentification du client pour le serveur. 
Pratiquement, le protocole SSL procure une securite de type « poignee 
de main » pour debuter toute connexion TCP/IP. La poignee de main permet, a 
Tordinateur du client et au serveur commercant, de se mettre d'accord sur le niveau 
de securite a utiliser et de remplir les conditions d'authentification pour la connexion. 
Ensuite, I'unique role du protocole SSL consiste a coder et decoder le flux d'octets 
du protocole application en cours (par exemple « HTTP », acronyme de « HyperText 
Transfer Protocol » pour « protocole de transfer! hypertexte »). Cela signifie que 
toutes les informations contenues dans les demandes et reponses HTTP sont 
entierement codees, y compris I'URL (acronyme de universal resolution location) 
que I'ordinateur du client requiert, le contenu de tous les formulaires soumis (tels 
que les numeros de cartes de credit), toute information relative a I'autorisation 
15 d'acces HTTP (noms d'utilisateur et mot de passe) et toutes les donnees retournees 
par le serveur a I'ordinateur du client. 

Des certificats SSL peuvent etre edites par une entite accreditee a la 
fois pour le client et le commercant. De maniere usuelle, le client ne possede pas de 
certificat. 

On observe, en figure 13, dans un mode particulier de realisation de la 
presente invention, en combinaison avec le schema de paiement SSL, que : 

- I'ordinateur du client 1301 initie d'abord I'achat, en choisissant son 
bien ou service sur le site commergant 1302 ou la galerie commercante souhaitee ; 

- le declenchement du paiement est active par une validation d'achat 
25 du client (par exemple, I'appui sur une touche « validation achat ») ; 

- s'ensuit I'ouverture de la communication SSL avec un echange, entre 
I'ordinateur du client 1301 et le serveur commercant 1302, de trames qui permettent 
de regler les parametres de la communication (version de protocole, numero de 
session, algorithme de chiffrement retenu, methode de compression, authentification 

30 reciproque et utilisation ou non de chiffrement a base d'algorithmes a cles publiques 
ou privees). Une cle maitre est echangee, chiffree, avec la cle privee du 
commercant, I'ordinateur du client la dechiffrant avec la cle publique du commercant 
et generant ensuite une cle de session basee sur cette cle maitre. Cette operation 



20 
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est reproduite sur le serveur commergant afin de disposer, de part et d'autre, de la 
meme cle de session. Ladite cle de session sert a chiffrer la communication entre 
I'ordinateur du client et le serveur commergant ; 

- le client tape un identificateur « Userld » permettant de Tidentifier 
5 aupres du serveur commer^ant ou de la galerie marchande ; 

- le serveur commer?ant ou de la galerie transmet I' identificateur 
« Userld » et les parametres de la transaction, au logiciel de telepaiement 1303 qui 
calcule le code d'authentification de transaction et I'envoie, par I'intermediaire d'un 
message court SMS, au client identifie par son numero de telephone mobile 1304 

10 correspondant a son identificateur « Userld », dans la base des abonnes 1305 du 
serveur d'authentification 1306 ; 

Une variante consiste a mettre en oeuvre le certificat SSL sur 
I'ordinateur du client, notamment en y incorporant, lors de sa generation par le 
serveur d'accreditation, le numero de mobile utilisateur, le numero de carte bancaire 

15 et la date limite de validite de la carte bancaire. Lors des echanges du debut de 
connexion SSL, le serveur commer9ant dechiffre les informations du certificat client 
et notamment le numero de mobile qui sert a envoyer le code d'authentification de 
transaction client. Dans cette variante, il est ainsi possible de s'affranchir de la base 
de donnees abonnes dans le serveur d'authentification. 

20 Une autre variante consiste a ce que le client envoie directement le 

numero de carte bancaire et la date limite de validite de celle-ci. Dans ce cas, le 
serveur commer^ant calcule un code d'authentification de transaction et recupere le 
numero de mobile du client dans la base de donnees indexee par le numero de 
carte bancaire. Ensuite, le code d'authentification de transaction est envoye au 

25 client par I'intermediaire de son mobile. 

- le client identifie par son mobile retpoit le code d'authentification de 
transaction sur son telephone mobile, puis le saisit dans un champ d'authentification 
sur I'ecran de son PC ; 

- le code d'authentification de transaction est envoye par I'intermediaire 
30 du serveur commersant ou de la galerie, puis au serveur d'authentification qui valide 

alors le code d'authentification de transaction et declenche le paiement. 

- une variante consiste a joindre, en plus du montant de I'achat, les 
references du produit achete, les quantites, ... , en clair, avec le code 
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d'authentification de transaction par renvoi du message court SMS, lors de renvoi 

sur le telephone mobile du client. 

Selon une variante (non representee) de chacun des modes de 

realisation de la presente invention, le serveur du commergant effectue une 
5 operation de selection des transmissions qui sont securisees conformement a la 

presente invention. Au cours de cette operation de selection de transmissions, en 

fonction de criteres predetermines, les transmissions sont classees en deux 

groupes, Tun concernant les transmission dites « a securiser » et Tautres les 

transmissions dites « normales ». Les transmissions « a securiser » sont traitees 
10 comme expose ci-dessus, alors que les transmissions dites « normales » ne donnent 

pas lieu a plus d'une operation de transmission sur un support de communication. 

Les transmissions dites normales sont, en fait, conformes aux precedes connus 

dans Tart anterieur. 

Par exemple, dans le cas du mode de realisation expose en figure 10, 
15 Toperation de selection peut etre faite au cours de Toperation 1005 ou au cours de 

Toperation 1008, en prenant, comme critere de selection, le montant de transaction, 

et en le comparant a un montant limite de transaction. Les transmissions dites « a 

securiser » sont, alors, celles auxquelles sont associees des montants de 

transaction superieurs audit montant limite. 
20 Les differents modes de realisation de la presente invention 

(authentification, certification de message et paiement electronique en ligne) 

peuvent etre combines afin de realiser des applications specifiques correspondant 

aux exigences de I'operateur du service. 

L'invention s'applique notamment : 
25 - au controle d'acces sur site informatique (pour la securite interne a 

une entreprise, pour le teletravail dans une entreprise, pour I'acces a des bases de 

donnees protegees ...), 

- a la remise d' information confidentielle en main propre (pour le 
courrier electronique, la telecopie securisee et/ou recommandee, pour la certification 

30 de devis ou de bon de commande ...) ( 

- au paiement en ligne (pour le commerce electronique, pour la 
distribution d'information et ou de logiciels, ...), 
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- a la certification de message (pour la declaration a distance, pour la 
banque a domicile, ...), 

- a la remise de propositions commerciales personnalisees (pour les 
boTtes aux lettres securisees, ...), 

5 - a la prise de pari, en ligne (pour les loteries ou les mises pour jeu de 

casinos, courses, ...), 

- a la commande et a la reservation d'un programme de television (pour 
la television a facturation des seules emissions vues), 

- a renvoi d'information ou au telechargement de logiciel a la demande, 
10 - a la reservation de services en ligne ou 

- a I'ouverture de porte-monnaie electronique virtuel. 

Quelques unes de ces applications sont detaillees ci-dessous, a titre 

d'exemple. 

Pour une application de controle d'acces mettant en oeuvre la 
15 presente invention, le reseau utilise peut etre un reseau connu sous le nom 
d'«intranet» ou un reseau mondial connu sous le nom d'«internet». L'objectif de 
cette application de I'invention est de s'assurer que I'utilisateur est une personne 
habilitee. 

Dans cette application : 
20 - I'utilisateur se met en relation avec le service, 

- il s'identifie en fournissant un identifiant, 

- il recoit, par I'intermediaire d'un deuxieme support de communication 
(par exemple telephone portable ou pageur), un mot de passe jetable, 

- il tape ce mot de passe jetable sur le clavier de son terminal, puis 

25 - si I'authentification est realisee, il accede a la ressource consideree 

(pour la securite interne dans une entreprise, pour le teletravail ...). 

Pour une application de transmission de courrier electronique ou 
de telecopie recommandee mettant en oeuvre la presente invention, le reseau 
utilise peut etre un reseau commute. Les objectifs de cette application de I'invention 

30 sont : 

- de s'assurer que la personne a qui est adresse le message securise 
(le «destinataire»), le recoit en main propre et 
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- de delivrer un certificat de message a I'emetteur et au destinataire du 
message securise. 

Dans cette application : 

- I'utilisateur emetteur du message securise compose le numero d'un 
5 service specialise pour la mise en oeuvre de cette application, 

- il s'identifie en fournissant un identifiant, 

- il tape les coordonnees de I'utilisateur destinataire (numero de 
telephone, preference! lement portable, adresse, telecopie, ...), puis 

- il delivre son message securise (oral, ecrit et/ou par I'intermediaire 
10 d'un telecopieur). 

- il regoit, par I'intermediaire d'un deuxieme support de communication 
(par exemple telephone portable ou pageur), un certificat de message, 

- il tape ce certificat de message sur le clavier de son terminal, sur le 
premier reseau, 

15 - ce certificat de message est verifie, 

Ensuite, I'utilisateur destinataire : 

- est informe qu'un message securise I'attend (cette operation est 
realisee par tout moyen connu (telephonie, telecopie, courrier, pageur, courrier 
electronique ...), 

20 - ii compose le numero du service specialise pour ia mise en oeuvre de 

cette application, 

- il s'identifie en fournissant un identifiant, 

- il re?oit, par Tintermediaire d'un deuxieme support de communication 
(par exemple telephone portable ou pageur), un certificat de message, et 

25 - il tape ce certificat de message sur le clavier de son terminal, sur le 

premier reseau, 

- ce certificat de message est verifie, 

- Tutilisateur destinataire du message securise report ce dernier, 

- I'utilisateur emetteur est informe que le message securise a ete retire 
30 par le destinataire. 

Le service specialise conserve une trace de chacun des certificats 
ainsi delivres. 
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Pour une application a la t6l6d6c!aration (c'est-a-dire de declaration 
a distance) mettant en oeuvre la presente invention, le premier reseau utilise peut 
etre un reseau mondial connu sous le nom d*«internet». L'objectif de cette 
application de 1'invention est de permettre une declaration administrative officielle 
5 immediate, de delivrer un recepisse a I'utilisateur et de s'assurer de I'identite du 
deposant. 

Dans cette application : 

- I'utilisateur emetteur de la declaration se connecte a un service 
administratif adapte a cette application (voir ci-dessus), 

10 - il s'identifie en fournissant un identifiant, 

- il effectue ladite declaration ou rempli un formulaire administratis 

- il re?oit, par I' intermediate d'un deuxieme support de communication 
(par exemple telephone portable ou pageur), un certificat de message, et 

- il tape ce certificat de message sur le clavier de son terminal. 

15 Pour une application de i'invention a ('achat et/ou le paiement en 

ligne mettant en oeuvre la presente invention, le reseau utilise est le reseau mondial 
connu sous le nom d , «internet» et un logiciel mis en oeuvre par I'ordinateur de 
I'utilisateur permet de crypter un numero de compte ou de carte bancaire (par 
exemple avec un logiciel de cryptage «SSL» ou « SET »). L'objectif de cette 

20 application de i'invention est de pouvoir payer en iigne en authentifiant la personne 
qui realise la transaction. 

Dans cette application : 

- I'utilisateur se met en relation avec une «galerie marchande», c'est-a- 
dire un site rassemblant des commergants fournissant des biens, des services ou de 

25 reformation, 

- il s'identifie en fournissant un identifiant, 

- il choisit une transaction qu'il souhaite effectuer, 

- il indique un mode de paiement (carte bancaire, par exemple), 

- il envoie au serveur de la galerie marchande son numero de carte et 
30 la date de peremption de cette carte, sous protocole de cryptage SSL, 

- le serveur genere un certificat de transaction auquel il associe le 
montant de transaction, en ciair, 
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- I'utilisateur regoit, par I' intermediate d'un deuxieme support de 
communication (par exemple telephone portable ou pageur), ce certificat de 
transaction et le montant de la transaction en clair, 

- il verifie I'integrite du montant, 

5 - il tape ces elements sur le clavier de son terminal, et 

- la transaction est ensuite effectuee selon des procedures bancaires 

connues. 

Pour une application mettant en oeuvre la presente invention dans 
laquelie de Information (textes, images, graphiques, sons) et/ou des iogiciels 
10 sont fournis a la demande, le reseau utilise est le reseau mondial connu sous le 
nom d , «internet». L'objectif de cette application de I'invention est de faire payer a 
I'acte la personne qui accede a une ressource a valeur ajoutee et, de lui fournir le 
service demande (transmission d'information ou de logiciel) en temps reel. 
Dans cette application, 
15 - I'utilisateur se met en relation avec le fournisseur de service, 

- il s'identifie en fournissant un identifiant, 

- il choisit une information ou un logiciel qui I'interesse, 

- le fournisseur de service indique le prix du service considere, 

- I'utilisateur confirme sa volonte d'achat, 

20 - I'utilisateur regoit, par I'intermediaire d'un deuxieme support de 

communication (par exemple telephone portable ou pageur), un certificat de 
transaction assorti du montant de la transaction en clair, et 

- il verifie I'integrite du paiement, 

- il tape le certificat de transaction sur le clavier de son terminal, 
25 - le certificat de transaction est verifie, 

- il regoit reformation ou le logiciel considere, et 

- il est facture par releve mensuel par son operateur de service de 
telecommunication, ou par son fournisseur d'acces au reseau, par exemple, en 
fonction de sa consommation. 

30 Pour une application de pris de parts a distance mettant en oeuvre 

la presente invention, le reseau utilise est le reseau mondial connu sous le nom 
d'«internet». L'objectif de cette application de I'invention est de s'assurer que la 
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personne misant sur un jeu ou prenant un pari a distance est habilitee a le faire et 
quelle a acquitte au prealable les droits necessaires pour ce jeu. 
Dans cette application : 

- I'utilisateur ouvre et provisionne son compte chez I'operateur de 
5 service, soit en deposant une somme sur son compte depuis un point de vente 

quelconque ou par cheque, soit en utilisant la meme methode que dans les 
applications de I'invention detaillee ci-dessus pour le paiement en ligne, 

- puis, lorsque I'utilisateur veut participer a un jeu ou prendre un pari : 

- il s'identifie en fournissant un identifiant, et/ou un numero d'abonne, 
10 - il selectionne le jeu sur lequel il souhaite miser, 

- I'utilisateur regoit, par I'intermediaire d'un deuxieme support de 
communication (par exemple telephone portable ou pageur), un certificat de 
transaction assorti de la mise et du pari, en clair, et 

- il verifie la mise et le pari 

15 - il tape le certificat de transaction sur le clavier de son terminal, 

- le certificat de transaction est verifie (mise, pari, chiffres, 
combinaison). 

Pour une application a la foumiture d'offres personnalisees mettant 
en oeuvre la presente invention, le reseau utilise est le reseau mondial connu sous 
20 le nom d'«internet». L'objectif de cette application est ^identifier les demandes du 
consommateur en amont de I'acte d'achat et de lui faire des offres personnalisees 
correspondant a sa demande. 

Dans cette application, lors de sa premiere connexion : 

- le consommateur se met en relation avec le service, 

25 - il s'identifie en fournissant un identifiant et/ou un numero d'abonne, 

- il regoit, par I'intermediaire d'un deuxieme support de communication 
(par exemple telephone portable ou pageur), un mot de passe jetable, 

- il tape le mot de passe jetable sur le clavier de son terminal, et 

- il remplit un questionnaire marketing permettant de definir les types 
30 de propositions commerciales a lui adresser. 

Lorsqu ! une proposition commerciale correspondant a sa demande lui 
est adressee, le consommateur regoit un message «d l alerte», par Tintermediaire du 
deuxieme support de communication. Au cours de la deuxieme connexion : 
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- le consommateur se met alors en relation avec le service, 

- ii s'identifie en fournissant un identifiant et/ou un numero d'abonne, 

- il report, par I" intermediate d'un deuxieme support de communication, 
un certificat de message, 

5 - il tape le certificat de message sur ie clavier de son terminal, 

- il accede a la boite aux lettres personnelle et confidentielle qui 
contient la proposition commerciale, 

- il consulte la proposition. 
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1. Procede de transmission d'information sur un premier support de 
communication, caracterise en ce qu'il comporte : 

5 - une operation d'ouverture d'une session de communication avec un 

moyen de communication situe a distance, sur ledit premier support de 
communication, 

et, durant ladite session : 

. une operation de reception d'une information confidentielle sur 
10 un terminal a adresse unique sur un deuxieme support de 

communication, et 

. une operation de transmission, sur le premier support de 
communication, d'un message confidentiel representatif de ladite 
information confidentielle. 

15 

2. Procede de transmission d'information sur un premier support de 
communication, caracterise en ce qu'il comporte : 

- une operation d'ouverture, par I'intermediaire d'un terminal a adresse 
unique sur ledit premier support de communication, d'une session de communication 
20 avec un moyen de communication situe a distance, 
et t durant ladite session : 

. une operation de reception d'une information confidentielle sur 
le premier support de communication, et 

; une operation de transmission, sur un deuxieme support de 
25 communication, d'un message confidentiel representatif de ladite 

information confidentielle. 

3. Procede de transmission d'information sur un premier support de 
communication, caracterise en ce qu'il comporte : 

30 - une operation d'ouverture, par I'intermediaire d'un premier terminal, 

d'une session de communication avec un moyen de communication situe a distance, 
sur ledit premier support de communication, 



BNSDOCID: <WO 9923617A2_I_> 



10 



WO 99/2361 7 PCT/FR98/02348 

-49- 

- une operation d'ouverture, par I'intermediaire d'un deuxieme terminal, 
d'une session de communication avec un moyen de communication situe a distance, 
sur un deuxieme support de communication, 

- lorsque les deux sessions sont ouvertes, une operation de reception 
d'une information confidentielle sur un desdits supports de communication sur lequel 
Tun des terminaux a une adresse unique, et 

- une operation de transmission, sur I'autre desdits supports de 
communication, d'un message confidentiel representatif de iadite information 
confidentielle. 



4. Procede de transmission d'information sur un premier support de 
communication, caracterise en ce qu'il comporte : 

- une operation d'ouverture d'une session de communication avec un 
moyen de communication situe a distance, sur ledit premier support de 

15 communication, 

et, durant Iadite session : 

. une operation de generation d'une information confidentielle et 
de transmission de Iadite information confidentielle, a un terminal 
a adresse unique sur un deuxieme support, 

20 . une operation de reception, sur le premier support de 

communication, d'un message confidentiel susceptible d'etre 
representatif de Iadite information confidentielle, et 
. une operation de verification de correspondance entre ledit 
message confidentiel et Iadite information confidentielle. 

25 

5. Procede de transmission d f information sur un support de 
communication dit "deuxieme", ledit support de communication faisant partie d'un 
reseau de communication, caracterise en ce qu'il comporte : 

- une operation de reception, de la part d'un terminal dit "deuxieme", 
30 d'un premier message representatif : 

. d'un identifiant d'un terminal dit "troisieme" possedant une 
adresse unique sur ledit reseau, 
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. d'une information confidentielle, 

. d'une information representative d'un montant de transaction, 

- une operation de transmission, au troisieme terminal, d'un deuxieme 
message representatif : 

5 . de ladite information confidentielle et 

. dudit montant, 

- une operation de reception d'un troisieme message, de la part dudit 
deuxieme terminal, representatif d'une validation de transaction, et 

- une operation d' incrementation d'un registre correspondant audit 
10 troisieme terminal, d'une valeur representative d'une duree de la premiere session. 

6. Procede de transmission d'information sur un support de 
communication dit "deuxieme", ledit support de communication faisant partie d'un 
reseau de communication, caracterise en ce qu'il comporte : 

15 - une operation de reception, de la part d'un terminal dit "deuxieme", 

d'un premier message representatif : 

. d'un identifiant d'un terminal dit "troisieme" possedant une 

adresse unique sur ledit reseau, 

. d'une information confidentielle, 
20 . d'une information representative d'un montant de transaction, 

- une operation de transmission, au troisieme terminal, d'un deuxieme 
message representatif : 

. de ladite information confidentielle et 
.dudit montant, 

25 - une operation ^incrementation d'un registre correspondant audit 

troisieme terminal, d'une valeur predetermine. 

7. Procede de transmission d'information sur un support de 
communication dit "deuxieme", ledit support de communication faisant partie d'un 

30 reseau de communication, caracterise en ce qu'il comporte : 

- une operation de reception, de la part d'un terminal dit "deuxieme", 
d'un premier message representatif : 



BNSOOCID: <WO 992361 7A2_1_> 



WO 99/23617 



-51 - 



PCT/FR98/02348 



. d'un identifiant d'un terminal dit "troisieme" possedant une 
adresse unique sur ledit reseau, 
. d'une information confidentielle, 

. d'une information representative d'un montant de transaction, 
5 - une operation de transmission, au troisieme terminal, d'un deuxieme 

message representatif : 

. de ladite information confidentielle et 
. dudit montant, 

- une operation de reception d'un troisieme message, de la part dudit 
10 deuxieme terminal, representatif d'une validation de transaction, et 

- une operation decrementation d'un registre correspondant audit 
troisieme terminal, d'une vaieur representative dudit montant de transaction. 

8. Precede de transmission d'information, entre un premier et un 
15 deuxieme terminal, sur un premier support de communication appartenant a un 
reseau de communication, caracterise en ce qu'il comporte : 

- une operation d'ouverture de session de communication, sur le 
premier support de communication entre le premier et le deuxieme terminal et 

- une operation de transmission, de ia part du deuxieme terminal a un 
20 troisieme terminal raccorde a un deuxieme reseau et possedant une adresse unique 

sur ledit deuxieme reseau, d'un premier message representatif d'une information 
confidentielle, 

- une operation de transmission, a une adresse sur ledit reseau qui 
correspond audit troisieme terminal d'un deuxieme message representatif de ladite 

25 information confidentielle, et 

- une operation de transmission, sur le premier support de 
communication, en provenance du premier terminal et a destination du deuxieme 
terminal, d'un message representatif de I'information confidentielle. 

30 9 - Procede de transmission d'information sur un premier support de 

communication faisant partie d'un reseau de communication, caracterise en ce qu'il 
comporte : 
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- une operation de reception, de la part d'un premier terminal, d'un 
premier message representatif : 

. d'un montant d'une transaction envisagee, 
. d'un identifiant d'un debiteur, 
5 - une operation de transmission, sur un deuxieme support de 

communication, a un serveur bancaire, d'un deuxieme message representatif : 
. dudit montant, 
. d'un identifiant dudit debiteur 
. d'une demande d'autorisation de debit, 
10 - une operation de reception ou non de la part dudit serveur bancaire, 

d'un troisieme message representatif d'une autorisation de debit, 

- lorsque I'autorisation est accordee, une operation de transmission, a 
un deuxieme terminal possedant une adresse unique sur un deuxieme reseau de 
communication, d'un quatrieme message representatif d'une information 

15 confidentielle, 

- une operation de reception, de la part dudit premier terminal, d'un 
cinquieme message representatif de ladite information confidentielle, 

- une operation de verification de correspondance entre le message 
confidentielle et I'information confidentielle. 

20 

10. Precede de transmission ^information sur un premier support de 
communication faisant partie d'un reseau de communication, caracterise en ce qu'il 
comporte : 

- une operation de reception, de la part d'un premier terminal, d'un 
25 premier message representatif : 

. d'un montant d'une transaction envisagee, 
. d'un identifiant d'un debiteur, 

- une operation d'autorisation, ou non, de debit d'un compte bancaire, 

- lorsque I'autorisation est accordee, une operation de transmission, a 
30 un deuxieme terminal possedant une adresse unique sur un deuxieme reseau de 

communication, d'un deuxieme message representatif de I'information confidentielle, 

- une operation de reception, de la part dudit premier terminal, d'un 
troisieme meissage representatif de ladite information confidentielle, 
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- une operation cle verification de correspondance entre le message 
confidentielle et 1'information confidentielle et 

- dans le cas ou la correspondance est verifiee, une operation de debit 
dudit montant sur ledit compte bancaire. 

5 

11. Procede de transmission d'information selon Tune quelconque des 
revendications 1 a 10, caracterise en ce que ('information confidentielle est 
representative d'un numero de session attribue a ladite session. 

10 12. Procede de transmission d'information selon Tune quelconque des 

revendications 1 a 11, caracterise en ce que rinformation confidentielle est 
representative d'un nombre pseudo-aleatoire. 

13. Procede de transmission d'information selon Tune quelconque des 
15 revendications 1 a 12, caracterise en ce que rinformation confidentielle est 

representative de I'heure et la date de ladite operation d'ouverture de session. 

14. Procede de transmission deformation selon I'une quelconque des 
revendications 1 a 13, caracterise en ce que rinformation confidentielle est 

20 representative d'un identifiant de I'utilisateur. 

15. Procede de transmission d'information selon I'une quelconque des 
revendications 1 a 14, caracterise en ce que rinformation confidentielle est modifiee 
a chacune des sessions. 

25 

16. Procede de transmission d'information selon rune quelconque des 
revendications 1 a 15, caracterise en ce que rinformation confidentielle est 
representative d'un ou plusieurs numeros de compte bancaire et/ou de carte de 
paiement. 

30 

17. Procede de transmission selon rune quelconque des 
revendications 1 a 16, caracterise en ce que, au cours de I'operation de reception 
d'une information confidentielle, on regoit, en outre, un montant de transaction. 
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30 



18. Precede de transmission selon Tune quelconque des 
revendications 1 a 17, caracterise en ce que, au cours de reparation de 
transm.ss.on d'un message confidentiel represents de .-information confidentielle 

5 on transmet, en outre, un montant de transaction. 

19. precede de transmission selon la revendication 9, caracterise en ce 
qu'apres .-operation de verification de cerrespondance, en cas de correspondance il 
comporte une operation decrementation d'un compte au debit dudit debiteur 

0 

20. Precede de transmission selon I'une ' quelconque des 
revendications 9 ou 19, caracterise en ce qu'i. comporte, apres .'operation de 
recept,on du premier message, une operation de lecture, dans une base de donnee 
de I'adresse unique du deuxieme terminal sur le deuxieme reseau 

5 

21. Precede de transmission selon Tune quelconque des 
revendications 9, 19 eu 20, caracterise en ce qu'i. comporte, apres .-operation de 
recept.on du premier message, une operation de lecture, dans une base de donnee 
d'un identificateur dudit serveur bancaire. 

22. Precede de transmission selon I'une quelconque des 
revendications 1 a 21, caracterise en ce qu'il comporte une operation de saisie 
manuelle, au cours de laquelle I'utilisateur saisit un message confidentiel 
representatif de I'information confidentielle. 

23. Procede de transmission selon I'une quelconque des 
revendications 1 a 22, caracterise en ce qu'il comporte une operation de selection 
de transmission, au cours de laquelle, en fonction de criteres predetermines les 
transmissions son, classees en deux groupes, I'un concernan, les transmission dites 
« « securiser » e. ,'au.res les transmissions di.es « normaies ,. , es transmissions 
normales ne donnant pas lieu a plus d une operation de transmission sur un support 
de communication. 
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24. Precede de transmission selon la revendication 23, caracterise en 
ce que, au cours de ladite operation de selection, on met en oeuvre un montant 
iimite de transaction, les transmissions dites « a securiser » etant celles auxqueltes 

5 sont associees les montants de transaction superieurs audit montant Iimite. 

25. Procede de transmission selon Tune quelconque des 
revendications 1 a 24, caracterise en ce qu'il comporte une operation de 
transmission d'une adresse unique sur Tun desdits reseaux. 

10 

26. Procede de transmission selon la revendication 25, caracterise en 
ce que, au cours de ladite operation de transmission d'une adresse unique, on 
transmet un certificat contenant une information representative du ladite adresse 
unique. 

15 

27. Procede de transmission selon la revendication 26, caracterise en 
ce que ledit certificat repond a un protocole de securisation de paiement et comporte 
une information representative de ladite adresse unique. 

20 28. Serveur informatique, caracterise en ce qu'il est adapte a mettre en 

oeuvre le procede de transmission selon Tune quelconque des revendications 1 a 
27. 

29. Ordinateur, caracterise en ce qu'il est adapte a mettre en oeuvre le 
25 procede de transmission selon Tune quelconque des revendications 1 a 27. 
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(57) Abstract 

The invention concerns the combined use of at least two communication networks and more precisely confidential data exchange to a 
first data medium user by means of a second data medium via a mechanism synchronising the data media and sending data from one medium 
to the other. The data transmission method on a first medium thus consists in: an operation for opening a communication session with means 
of communication remotely located, on said first communication medium; and during said session: an operation for receiving confidential 
information on a single address terminal on a second communication medium; and an operation for transmitting, on the first communication 
medium, a confidential message representing the confidential information; an operation for verifying whether the confidential message 
corresponds to the confidential information. 
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(57) Abrege 



La presente invention propose 1'utilisation combinee d'au moins deux reseaux de communication et plus precisement I'echange 
d'information confidentielle a un usager d'un premier support d'information a I'aide d'un deuxieme support d'information par Tinterm^diaire 
djun mecanisme de synchronisation des supports d'information et de renvoi d'information d'un support a I'autre. Le proc&te de transmission 
d'information sur un premier support comporte ainsi: une operation d'ouverture d'une session de communication avec un moyen de 
communication situ6 a distance, sur ledit premier support de communication, et, durant ladite session: une operation de reception d'une 
information confidentielle sur un terminal a adresse unique sur un deuxieme support de communication, et une operation de transmission, sur 
le premier support de communication, d'un message confidentiel representant reformation confidentielle, une operation pour verifier si le 
message confidentiel correspond a Pinformation confidentielle. 
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(57) Abstract 

The invention concerns the combined use of at least two communication networks and more precisely confidential data exchange 
to a first data medium user by means of a second data medium via a mechanism synchronising the data media and sending data from 
one medium to the other. The data transmission method on a first medium thus consists in: an operation for opening a communication 
session with means of communication remotely located, on said first communication medium; and during said session: an operation for 
receiving confidential information on a single address terminal on a second communication medium; and an operation for transmitting, on 
the first communication medium, a confidential message representing the confidential information; an operation for verifying whether the 
confidential message corresponds to the confidential information. 



(57) Abrege 

La presente invention propose I'utilisation combined d'au moins deux r6seaux de communication et plus precisement F6change 
d' information confidentielle a un usager d'un premier support d'information a Faide d'un deuxierne support d'information par l'intermddiaire 
d'un mecanisme de synchronisation des supports d* information et de renvoi d'information d'un support a 1* autre. Le proo6de" de transmission 
d'information sur un premier support comporte ainsi: une operation d'ouverture d'une session de communication avec un moyen de 
communication situe a distance, sur ledit premier support de communication, et, durant ladite session: une operation de reception d'une 
information confidentielle sur un terminal a adresse unique sur un deuxierne support de communication, et une operation de transmission, 
sur le premier support de communication, d'un message confidenttel representant 1* information confidentielle, une operation pour verifier si 
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